• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

安全配置指导

目录

05-端口安全配置

本章节下载 05-端口安全配置  (373.29 KB)

05-端口安全配置


l          产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。

l          设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

l          本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。

 

1 端口安全配置

端口安全中对于接口的相关配置,目前可以在以太网接口及WLAN接口上进行。各命令支持接口类型的情况不同,具体请参见“安全命令参考”中的“端口安全”。

 

1.1  端口安全简介

1.1.1  概述

端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:

l              禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文;

l              端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文;

l              未通过认证的用户发送的报文。

由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“802.1X配置”、“MAC地址认证配置”。

 

1.1.2  端口安全的特性

1. NeedToKnow特性

NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

2. 入侵检测(IntrusionProtection)特性

入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。

3. Trap特性

Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。

1.1.3  端口安全模式

对于端口安全模式的具体描述,请参见表1-1

表1-1 端口安全模式描述表

安全模式类型

描述

特性说明

noRestrictions

表示端口的安全功能关闭,端口处于无限制状态

此时NeedToKnow特性和入侵检测特性无效

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口

在这种模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入

此模式下NeedToKnow特性和入侵检测特性不会被触发

userLoginSecure

端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过;

此模式下,端口最多只允许一个802.1X认证用户接入

在左侧列出的模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

userLoginWithOUI

与userLoginSecure模式类似,端口最多只允许一个802.1X认证用户接入

l      在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过;

l      在用户接入方式为无线的情况下,端口首先对报文进行OUI检查,OUI检查失败后再进行802.1X认证

macAddressWithRadius

对接入用户采用MAC地址认证

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式,但802.1X认证优先级大于MAC地址认证

l      在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证。对于802.1X报文直接进行802.1X认证;

l      在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证

userLoginSecureExt

对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户

macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

macAddressElseUserLoginSecureExt

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户

 

l          目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。

l          当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。

l          静态MAC地址是通过mac-address static命令配置的,具体介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表管理”。

 

由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:

l          “userLogin”表示基于端口的802.1X认证;

l          “macAddress”表示MAC地址认证;

l          “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。

l          “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;

l          携带“Secure”的userLogin表示基于MAC地址的802.1X认证。

l          携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功。

 

1.1.4  端口安全对WLAN的支持

端口安全针对WLAN(Wireless Local Area Network,无线局域网)类型的接口,在原有安全模式的基础上增加presharedKey、macAddressAndPresharedKey、userlLoginSecureExtOrPresharedKey和WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)四种安全模式,实现了访问无线接入设备的链路层安全机制。其中WAPI模式主要是对未通过WAPI鉴别的无线用户进行访问限制:

l              当用户鉴别失败后,不允许该用户访问任何网络资源;

l              当用户鉴别成功后,开启该用户访问网络资源的权限。

有关WAPI的相关介绍,请参见“WLAN 配置指导”中的“WAPI”。

表1-2 端口安全支持WLAN模式描述表

安全模式类型

描述

特性说明

presharedKey

接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

macAddressAndPresharedKey

接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

userLoginSecureExtOrPresharedKey

接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商

WAPI

对接入用户采用WAPI认证

NeedToKnow特性和入侵检测特性在此类型下无效

 

l          新增的模式目前只适用于无线产品接口类型。

l          PSK用户是指通过presharedKey安全模式认证上线的用户。系统最大PSK用户数由无线接口可支持的最大用户数决定。

l          对于presharedKey模式,用户总数不能超过系统最大PSK用户数;单个端口上的用户数不能超过每端口最大PSK用户数。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。

l          对于macAddressAndPresharedKey模式,用户总数及单个端口上的用户数受到MAC地址认证的限制。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。

l          对于userLoginSecureExtOrPresharedKey模式,允许的PSK协商用户总数不能超过系统最大PSK用户数,单个端口上允许的PSK用户数不能超过每端口最大PSK用户数;允许的802.1X认证用户总数及单个端口上的用户数受到802.1X认证接入用户数的限制;此外,如果设置了每端口最大安全MAC地址数,则允许的PSK协商用户及802.1X认证用户之和不能超过该限制。

 

在无线接入的情况下,若802.1X或MAC地址认证用户的MAC地址及所属的VLAN与配置的安全MAC地址或静态MAC及所属的VLAN相同,则由于无线链路无法建立,会导致用户不能接入无线网络。

 

1.2  端口安全配置任务简介

表1-3 端口安全配置任务简介

配置任务

说明

详细配置

使能端口安全功能

必选

1.3 

配置端口允许的最大安全MAC地址数

可选

1.4 

配置端口安全模式

必选

1.5 

配置端口安全的特性

配置NeedToKnow特性

可选

根据实际组网需求选择其中一种或多种特性

1.6 

配置入侵检测特性

配置Trap特性

配置端口安全支持WLAN

配置支持WLAN的端口安全模式

无线产品必选

1.7 

使能密钥协商功能

配置预共享密钥

配置当前端口不应用服务器下发的授权信息

可选

1.8 

 

1.3  使能端口安全功能

1.3.1  配置准备

在使能端口安全功能之前,需要关闭全局的802.1X和MAC地址认证功能。

1.3.2  使能端口安全功能

表1-4 使能端口安全功能

操作

命令

说明

进入系统视图

system-view

-

使能端口安全功能

port-security enable

必选

缺省情况下,端口安全功能处于开启状态

 

端口安全功能使能后,端口的如下配置会被自动恢复为括弧内的缺省情况:

l          802.1X认证(关闭)、端口接入控制方式(macbased、端口接入控制模式(auto);

l          MAC地址认证(关闭)。

且以上配置不能再进行手动配置,只能随端口安全模式的改变由系统配置。

端口安全功能关闭时,端口的如下配置会被自动恢复为括弧内的缺省情况:

l          端口安全模式(noRestrictions);

l          802.1X认证(关闭)、端口接入控制方式(macbased、端口接入控制模式(auto);

l          MAC地址认证(关闭)。

端口上有用户在线的情况下,端口安全功能无法关闭。

 

l          有关802.1X认证配置的详细介绍可参见“802.1X配置”。

l          有关MAC地址认证配置的详细介绍可参见“MAC地址认证配置”。

 

1.4  配置端口允许的最大安全MAC地址数

端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过规定的最大值。

配置端口允许的最大安全MAC地址数有两个作用:

l              控制能够通过某端口接入网络的最大用户数;

l              控制端口安全能够添加的安全MAC地址数。

表1-5 配置端口允许的最大安全MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口允许的最大安全MAC地址数

port-security max-mac-count count-value

必选

缺省情况下,最大安全MAC地址数不受限制

 

l          该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关。

l          目前,端口允许的最大安全MAC地址数只能够在有线网口上配置。

 

1.5  配置端口安全模式

在配置端口安全模式之前,端口上需要满足以下条件:

l              802.1X认证关闭、端口接入控制方式为macbased、端口接入控制模式为auto

l              MAC地址认证关闭。

否则,系统提示错误信息,无法进行配置。反之,若端口上配置了端口安全模式,以上配置也不允许改变。

l          在端口安全功能未使能的情况下,端口安全模式可以进行配置但不会生效。

l          端口上有用户在线的情况下,端口安全模式无法改变。

 

1.5.1  配置端口安全模式

表1-6 配置端口安全模式

操作

命令

说明

进入系统视图

system-view

-

配置允许通过认证的用户OUI值

port-security oui oui-value index index-value

可选

缺省情况下,没有配置允许通过认证的用户OUI值

该命令仅在配置userlogin-withoui安全模式时必选

进入接口视图

interface interface-type interface-number

-

userloginWithOUI只能在二层以太网类型的接口下配置

配置端口的安全模式

port-security port-mode  { mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

必选

缺省情况下,端口处于noRestrictions模式

 

l          OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。

l          允许通过认证的用户OUI值可以配置多个,但在端口安全模式为userLoginWithOUI时,端口除了可以允许一个802.1X的接入用户通过认证之外,仅允许其中一个OUI值所属的用户通过认证。

l          当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。

l          端口上有用户在线的情况下,端口安全模式无法改变。

 

1.6  配置端口安全的特性

1.6.1  配置NeedToKnow特性

该功能用来限制认证端口上出方向的报文转发。即,用户通过认证后,以此MAC为目的地址的报文都可以正常转发。可以设置以下三种方式:

l              ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。

l              ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。

l              ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。

除缺省情况之外,配置了NeedToKnow的端口在以上任何一种方式下都不允许未知MAC地址的单播报文通过。

表1-7 配置NeedToKnow特性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口NeedToKnow特性

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

必选

缺省情况下,端口没有配置NeedToKnow特性,即所有报文都可成功发送

 

并非所有的端口安全模式都支持NeedToKnow特性,配置时需要先了解各模式对此特性的支持情况。

 

1.6.2  配置入侵检测特性

当设备检测到一个非法的用户通过端口试图访问网络时,该特性用于配置设备可能对其采取的安全措施,包括以下三种方式:

l              blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。

l              disableport:表示将收到非法报文的端口永久关闭。

l              disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

表1-8 配置入侵检测特性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置入侵检测特性

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

必选

缺省情况下,不进行入侵检测处理

需要注意的是,WLAN-BSS口上不支持参数disableport

退回系统视图

quit

-

配置系统暂时关闭端口连接的时间

port-security timer disableport time-value

可选

缺省情况下,系统暂时关闭端口连接的时间为20秒

 

macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,对于同一个报文,只有MAC地址认证和802.1X认证均失败后,才会触发入侵检测特性。

 

1.6.3  配置Trap特性

该特性用于端口上发生关键事件时触发告警开关输出对应的Trap信息,包括以下几种情况:

l              addresslearned:端口学习到新MAC地址时发出告警信息。

l              dot1xlogfailure/dot1xlogon/dot1xlogoff:802.1X用户认证失败/认证成功/下线时发出告警日志。

l              ralmlogfailure/ralmlogoff:MAC地址认证用户认证失败/下线时发出告警信息。

l              intrusion:发现非法报文时发出告警信息。

表1-9 配置Trap特性

操作

命令

说明

进入系统视图

system-view

-

打开指定告警信息的开关

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

必选

缺省情况下,所有告警信息的开关处于关闭状态

 

1.7  配置端口安全支持WLAN

无线产品中,不同的端口安全模式对密钥协商功能的支持情况不同,具体要求如表1-10所示。

表1-10 无线产品的端口安全模式配置说明

安全模式

说明

presharedKey、userLoginSecureExt、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey四种端口安全模式

WPA或RSN网络环境下,在左侧列出的安全模式下,用户接入必须使能密钥协商功能

l      presharedKey和macAddressAndPresharedKey模式下需要配置PSK;

l      userLoginSecureExt模式下不需要配置PSK;

l      userLoginSecureExtOrPresharedKey模式下可以选择是否配置PSK

除presharedKey、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey之外,其它的端口安全模式

用户接入不进行密钥协商,不用使能密钥协商功能

WAPI安全模式

 

l          在端口安全全局未使能的情况下,若无线协议相关的服务模板为crypto类型,用户不能直接上线;若无线协议相关的服务模板为clear类型,用户可直接上线。

l          关于接口绑定的无线协议相关服务模板类型的具体配置,请参考无线配置的相关手册。

l          缺省情况下,802.1X认证会周期性的发送组播触发报文主动对客户端进行认证,为了节省无线端口的通信带宽,建议关闭802.1X认证的组播触发功能。相关配置请参考“安全分册”中的“802.1X配置”。

 

1.7.1  配置支持WLAN的端口安全模式

表1-11 配置支持WLAN端口安全模式

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置WLAN端口支持的安全模式

port-security port-mode { mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | wapi }

必选

缺省情况下,端口处于noRestrictions模式

 

presharedKey、macAddressAndPresharedKey和userlLoginSecureExtOrPresharedKey和WAPI安全模式只能在WLAN-BSS类型的接口下配置。

 

1.7.2  使能密钥协商功能

在无线局域网中,用户认证通过后,可以利用EAPOL-Key帧与客户端进行链路层会话密钥的协商。802.1X中的EAPOL-Key帧用于协商过程中交换加密密钥信息。

l              如果使能了密钥协商功能,则用户认证通过后,只有完成密钥协商才能打开端口;

l              如果未使能密钥协商功能,则用户认证通过后直接打开端口。

表1-12 使能密钥协商功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

使能11key类型的密钥协商功能

port-security tx-key-type 11key

必选

缺省情况下,11key类型的密钥协商功能处于关闭状态

 

1.7.3  配置预共享密钥

设备上预先配置的预共享密钥用于协商接入用户与设备之间的会话密钥。

表1-13 配置预共享密钥

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置预共享密钥

port-security preshared-key { pass-phrase | raw-key } key

必选

缺省情况下,无预共享密钥

 

1.8  配置当前端口不应用服务器下发的授权信息

802.1X用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。通过此配置可实现基于端口是否忽略RADIUS服务器下发的授权信息。

表1-14 配置当前端口不应用服务器下发的授权信息

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置当前端口不应用RADIUS服务器下发的授权信息

port-security authorization ignore

必选

缺省情况下,端口应用RADIUS服务器下发的授权信息

 

对于无线加密用户,配置port-security authorization ignore命令时,要求802.1X用户使用clear的服务模版,并使用iNode进行认证。

 

1.9  端口安全显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后端口安全的运行情况,通过查看显示信息验证配置的效果。

表1-15 端口安全显示和维护

操作

命令

显示端口安全的配置信息、运行情况和统计信息

display port-security [ interface interface-list ]

显示阻塞MAC地址信息

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

显示端口安全的PSK用户信息

display port-security preshared-key user [ interface interface-type interface-number ]

 

1.10  端口安全典型配置举例

1.10.1  端口安全userLoginSecure模式配置举例

1. 组网需求

无线客户端Client通过无线方式连接到AP上,AP通过RADIUS服务器对Client进行身份认证,如果认证成功,Client被授权允许访问Internet资源。

l              IP地址为192.168.1.2/24的RADIUS服务器作为主认证/备份计费服务器,IP地址为192.168.1.3/24的RADIUS服务器作为备份认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。

l              所有接入用户都使用IPS域sun的缺省认证/授权/计费方案,该域最多可容纳30个用户;

l              系统向RADIUS服务器重发报文的时间间隔为5秒,重发次数为5次,发送实时计费报文的时间间隔为15分钟,发送的用户名不带域名。

管理者希望对Client接入AP的端口(本例为WLAN-BSS1)做如下限制:

l              该端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过;

l              该端口最多只允许一个802.1X认证用户接入。

2. 组网图

图1-1 端口安全userLoginSecure模式组网图

 

3. 配置步骤

l          下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全命令参考”中的“AAA”。

l          接入用户和RADIUS服务器上的配置略。

 

(1)        具体的配置步骤

l              创建clear类型的服务模板,SSID为userLoginSecure,认证方式为开放式认证,并开启无线服务。

# 创建服务模板。

<AP> system-view

[AP] wlan service-template 108 clear

[AP-wlan-st-108] ssid userLoginSecure

[AP-wlan-st-108] authentication-method open-system

[AP-wlan-st-108] service-template enable

[AP-wlan-st-108] quit

# 创建WLAN-BSS接口,并设置端口安全模式为userLoginSecure。

[AP] interface WLAN-BSS1

[AP-WLAN-BSS1] port-security port-mode userlogin-secure

[AP-wlan-st-108] quit

#在WLAN-Radio 1/0/1上绑定无线服务模板108和WLAN-BSS 1。

[AP] interface WLAN-Radio1/0/1

[AP-WLAN-Radio1/0/1] radio-type dot11a

[AP-WLAN-Radio1/0/1] service-template 108 interface wlan-bss 1

[AP-WLAN-Radio1/0/1]quit

l              配置RADIUS协议

# 配置RADIUS方案。

[AP] radius scheme radsun

[AP-radius-radsun] primary authentication 192.168.1.2

[AP-radius-radsun] primary accounting 192.168.1.3

[AP-radius-radsun] secondary authentication 192.168.1.3

[AP-radius-radsun] secondary accounting 192.168.1.2

[AP-radius-radsun] key authentication name

[AP-radius-radsun] key accounting money

[AP-radius-radsun] timer response-timeout 5

[AP-radius-radsun] retry 5

[AP-radius-radsun] timer realtime-accounting 15

[AP-radius-radsun] user-name-format without-domain

[AP-radius-radsun] quit

# 配置ISP域sun。

[AP] domain sun

[AP-isp-sun] authentication default radius-scheme radsun

[AP-isp-sun] authorization default radius-scheme radsun

[AP-isp-sun] accounting default radius-scheme radsun

[AP-isp-sun] access-limit enable 30

[AP-isp-sun] quit

# 设置sun为系统缺省的ISP域。

[AP] domain default enable sun

l              配置端口安全特性

# 使能端口安全功能。

[AP] port-security enable

(2)        验证配置结果

查看名为radsun的RADIUS方案的配置信息:

[AP]display radius scheme radsun

SchemeName  : radsun

  Index : 0                           Type : standard

  Primary Auth Server:

    IP: 192.168.1.2                              Port: 1812   State: active

    Encryption Key : Not configured

  Primary Acct Server:

    IP: 192.168.1.3                              Port: 1813   State: active

    Encryption Key : Not configured

  Second Auth Server:

    IP: 192.168.1.3                              Port: 1812   State: active

    Encryption Key : Not configured

  Second Acct Server:

    IP: 192.168.1.2                              Port: 1813   State: active

    Encryption Key : Not configured

  Auth Server Encryption Key : name

  Acct Server Encryption Key : money

  Accounting-On packet disable, send times : 5 , interval : 3s

  Interval for timeout(second)                            : 5

  Retransmission times for timeout                        : 5

  Interval for realtime accounting(minute)                : 15

  Retransmission times of realtime-accounting packet      : 5

  Retransmission times of stop-accounting packet          : 500

  Quiet-interval(min)                                     : 5

  Username format                                         : without-domain

  Data flow unit                                          : Byte

  Packet unit                                             : one     

查看名为sun的ISP域的配置信息:

[AP] display domain sun

   Domain = sun

   State = Active

   Access-limit = 30

   Accounting method = Required

   Default authentication scheme      : radius=radsun

   Default authorization scheme       : radius=radsun

   Default accounting scheme          : radius=radsun

   Domain User Template:

   Idle-cut = Disabled

   Self-service = Disabled

查看端口安全的配置信息:

[AP] display port-security interface WLAN-BSS1

Equipment port-security is enabled

 Trap is disabled

 Disableport Timeout: 20s

 OUI value:

 WLAN-BSS1 is link-up

   Port mode is userLoginSecure

   NeedToKnow mode is disabled

   Intrusion Protection mode is NoAction

   Max MAC address number is not configured

   Stored MAC address number is 0

   Authorization is permitted   

配置完成后,如果有802.1X用户上线,则可以看到存储的安全MAC地址数为1。还可以通过下述命令查看802.1X用户的情况:

[AP] display dot1x interface WLAN-BSS1

 Equipment 802.1X protocol is enabled

 EAP authentication is enabled

 Proxy trap checker is disabled

 Proxy logoff checker is disabled

 

  Configuration: Transmit Period    30 s,  Handshake Period       15 s

                  Quiet Period      60 s,  Quiet Period Timer is disabled

                  Supp Timeout      30 s,  Server Timeout        100 s

                  Reauth Period   3600 s

                  The maximal retransmitting times    2

 

The maximum 802.1X user resource number is 128 per slot

Total current used 802.1X resource number is 1

 

 WLAN-BSS1  is link-up

   802.1X protocol is enabled

   Proxy trap checker is   disabled

   Proxy logoff checker is disabled

   Handshake is enabled

   Periodic reauthentication is disabled

   The port is an authenticator

   Authentication Mode is Auto

   Port Control Type is Mac-based

   802.1X Multicast-trigger is enabled

   Mandatory authentication domain: NOT configured

   Guest VLAN: NOT configured

   Auth-Fail VLAN: NOT configured

   Max number of on-line users is 128

   EAPOL Packet: Tx 188, Rx 55

   Sent EAP Request/Identity Packets : 129

        EAP Request/Challenge Packets: 14

        EAP Success Packets: 2, Fail Packets: 37

   Received EAPOL Start Packets : 10

            EAPOL LogOff Packets: 3

            EAP Response/Identity Packets : 21

            EAP Response/Challenge Packets: 20

            Error Packets: 0

 1. Unauthenticated user : MAC address: 000e-35b2-8be9

   Controlled User(s) amount to 1

1.10.2  端口安全macAddressElseUserLoginSecure模式配置举例

1. 组网需求

无线客户端Client通过无线方式连接到AP上,AP通过RADIUS服务器对Client进行身份认证。如果认证成功,Client被授权允许访问Internet资源。

管理者希望对Client接入AP的端口(本例为WLAN-BSS1)做如下的限制:

l              该端口可以有多个MAC认证用户上线;

l              如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证(802.1X用户限制为1个);

l              MAC地址认证设置用户名格式为自定义用户名和密码的形式,上线的MAC地址认证用户和802.1X认证用户总和不能超过64个;

l              为防止报文发往未知目的MAC地址,启动NeedToKnow特性。

2. 组网图

图1-2 端口安全macAddressElseUserLoginSecure模式组网图

 

3. 配置步骤

l          RADIUS认证/计费配置及IPS域的配置同1.10.1  ,这里不再赘述。

l          接入用户和RADIUS服务器上的配置略。

 

(1)        具体的配置步骤

# 创建clear类型的服务模板,SSID为macAddressElseUserLoginSecure,认证方式为开放式认证,并开启无线服务。

<AP> system-view

[AP] wlan service-template 108 clear

[AP-wlan-st-108] ssid macAddressElseUserLoginSecure

[AP-wlan-st-108] authentication-method open-system

[AP-wlan-st-108] service-template enable

[AP-wlan-st-108] quit

# 创建WLAN-BSS接口,设置端口允许的最大安全MAC地址数为64。

[AP] interface wlan-bss1

[AP-WLAN-BSS1] port-security max-mac-count 64

# 设置端口安全模式为macAddressElseUserLoginSecure。

[AP-WLAN-BSS1] port-security port-mode mac-else-userlogin-secure

# 设置端口NeedToKnow模式为ntkonly。

[AP-WLAN-BSS1] port-security ntk-mode ntkonly

[AP-WLAN-BSS1] quit

# 配置射频接口的射频类型为802.11a,并将服务模板108与射频接口上的WLAN-BSS1绑定。。

[AP] interface wlan-radio1/0/1

[AP-WLAN-Radio1/0/1] radio-type dot11a

[AP-WLAN-Radio1/0/1] service-template 108 interface wlan-bss 1

[AP-WLAN-Radio1/0/1] quit

# 使能端口安全功能。

[AP] port-security enable

# 配置MAC认证的用户名为aaa,密码为123456。

[AP] mac-authentication user-name-format fixed account aaa password simple 123456

# 配置MAC地址认证用户所使用的IPS域。

[AP] mac-authentication domain sun

(2)        验证配置结果

查看端口安全的配置信息:

<AP> display port-security interface wlan-bss1

 Equipment port-security is enabled

 Trap is disabled

 Disableport Timeout: 20s

 OUI value:

 

 WLAN-BSS1 is link-up

   Port mode is macAddressElseUserLoginSecure

   NeedToKnow mode is NeedToKnowOnly

   Intrusion Protection mode is NoAction

   Max MAC address number is 64

   Stored MAC address number is 0

   Authorization is permitted

 

查看MAC地址认证情况:

<AP> display mac-authentication interface WLAN-BSS1

MAC address authentication is enabled.

 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx

 Fixed username:aaa

 Fixed password:123456

          Offline detect period is 300s

          Quiet period is 60s

          Server response timeout value is 100s

          The max allowed user number is 128 per slot

          Current user number amounts to 1

          Current domain is sun

 

Silent MAC User info:

          MAC Addr         From Port                    Port Index

 

WLAN-BSS1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 13

 Max number of on-line users is 128

  Current online user number is 1

          MAC Addr         Authenticate State           Auth Index

          000e-35b2-8be9   MAC_AUTHENTICATOR_SUCCESS     18

 

查看802.1X认证情况:

<AP> display dot1x interface WLAN-BSS1

 Equipment 802.1X protocol is enabled

 CHAP authentication is enabled

 Proxy trap checker is disabled

 Proxy logoff checker is disabled

 

Configuration: Transmit Period   30 s,  Handshake Period       15 s

                Quiet Period      60 s,  Quiet Period Timer is disabled

                Supp Timeout      30 s,  Server Timeout        100 s

                Reauth Period   3600 s

                The maximal retransmitting times    2

 

The maximum 802.1X user resource number is 128 per slot

 Total current used 802.1X resource number is 1

 

 WLAN-BSS1  is link-up

   802.1X protocol is enabled

   Proxy trap checker is   disabled

   Proxy logoff checker is disabled

   Handshake is disabled

   Periodic reauthentication is disabled

   The port is an authenticator

   Authentication Mode is Auto

   Port Control Type is Mac-based

   802.1X Multicast-trigger is disabled

   Mandatory authentication domain: NOT configured

   Guest VLAN: NOT configured

   Auth-Fail VLAN: NOT configured

   Max number of on-line users is 128

 

   EAPOL Packet: Tx 19, Rx 7

   Sent EAP Request/Identity Packets : 14

        EAP Request/Challenge Packets: 2

        EAP Success Packets: 1, Fail Packets: 2

   Received EAPOL Start Packets : 1

            EAPOL LogOff Packets: 0

            EAP Response/Identity Packets : 4

            EAP Response/Challenge Packets: 1

            Error Packets: 0

 1. Authenticated user : MAC address: 000e-35b2-8be9

 

   Controlled User(s) amount to 1

此外,因为设置了NeedToKnow特性,目的MAC地址未知、广播和多播报文都被丢弃。

1.10.3  端口安全支持WLAN的userLoginSecureExt模式配置举例

1. 组网需求

无线客户端Client通过无线方式连接到AP上。AP通过RADIUS服务器对Client进行身份认证。认证成功之后进行密钥协商,如果密钥协商成功,Client被授权允许访问网络资源。

2. 组网图

图1-3 端口安全支持WLAN组网图

 

3. 配置步骤

l          下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全命令参考”中的“AAA”。

l          接入用户和RADIUS服务器上的配置略。

 

在AP上进行如下配置:

(1)        配置RADIUS,请参考1.10.1  端口安全userLoginSecure模式配置举例中的RADIUS配置

(2)        配置端口安全

# 开启全局的端口安全特性。

<AP> system-view

[AP] port-security enable

# 配置802.1X的认证方式为EAP。

[AP] dot1x authentication-method eap

# 进入接口WLAN-BSS1。

[AP] interface wlan-bss 1

# 设置端口安全模式为userLoginSecureExt。

[AP-WLAN-BSS1] port-security port-mode userlogin-secure-ext

# 使能端口的密钥协功能。

[AP-WLAN-BSS1] port-security tx-key-type 11key

# 关闭在线用户握手功能和组播触发功能。

[AP-WLAN-BSS1] undo dot1x handshake

[AP-WLAN-BSS1] undo dot1x multicast-trigger

[AP-WLAN-BSS1] quit

(3)        配置WLAN的服务模板

# 创建crypto类型的服务模板,SSID为sectest,认证方式为开放式认证。。

[AP] wlan service-template 1 crypto

[AP-wlan-st-1] ssid sectest

[AP-wlan-st-1] authentication-method open-system

# 配置加密套件使用CCMP加密套件,信标和探测响应帧携带RSN IE,并开启无线服务。

[AP-wlan-st-1] cipher-suite ccmp

[AP-wlan-st-1] security-ie rsn

[AP-wlan-st-1] service-template enable

[AP-wlan-st-1] quit

# 配置射频接口的射频类型为802.11a,并将服务模板1与射频接口上的WLAN-BSS1绑定。

[AP] interface WLAN-Radio 1/0/1

[AP-WLAN-Radio1/0/1] radio-type dot11a

[AP-WLAN-Radio1/0/1]service-template 1 interface WLAN-BSS 1

(4)        验证配置结果

通过下述命令检查端口安全的配置情况:

<AP> display port-security interface wlan-bss1

Equipment port-security is enabled

 Trap is disabled

 Disableport Timeout: 20s

 OUI value:

 

 WLAN-BSS1 is link-up

   Port mode is userLoginSecureExt

   NeedToKnow mode is disabled

   Intrusion Protection mode is NoAction

   Max MAC address number is not configured

   Stored MAC address number is 0

   Authorization is permitted

配置完成后,如果有用户上线,则可以通过display connectiondisplay wlan client命令查看用户信息。

<AP> display connection ucibindex 315

Index=315 , [email protected]

MAC=0017-9a00-7b2f

IP=N/A

Access=8021X   ,AuthMethod=EAP

Port Type=Ethernet,Port Name=WLAN-BSS1

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=Disable

CAR=Disable

Priority=Disable

Start=2006-11-16 16:58:51 ,Current=2006-11-16 16:59:29 ,Online=00h00m38s

 Total 1 connection matched.

 

<AP> display wlan client

 Total Number of Clients: 1

                               Client Information

--------------------------------------------------------------------------

 MAC Address            BSSID                  AID    State             PS Mode

--------------------------------------------------------------------------

 0017-9a00-7b2f         000f-e210-2030         1      Running           Active

1.11  常见配置错误举例

1.11.1  无法配置端口安全MAC地址

1. 故障现象

无法配置端口安全MAC地址。

[AP-Ethernet1/0/1] port-security mac-address security 1-1-2 vlan 1

 Error:Can not operate security MAC address for current port mode is not autoLearn!

2. 故障分析

端口安全模式为非autoLearn时,不能对安全MAC地址进行设置。

目前,设备端口安全模式不支持autoLearn模式。

 

1.11.2  用户在线情况下无法更换端口安全模式

1. 故障现象

802.1X或MAC地址认证用户在线的情况下,更换端口安全模式失败。

[AP-WLAN-BSS1] undo port-security port-mode

Error: Interface WLAN-BSS1 uses enabled SSID: userLoginSecure, please disable t

he SSID and retry..

2. 故障分析

且当前无线服务已使能的情况下,禁止更换端口安全模式。

3. 处理过程

首先取消当前的无线服务,完后再进行端口安全模式更换。

[AP-WLAN-BSS1] quit

[AP] wlan service-template 1

[AP-wlan-st-1] service-template disable

[AP-wlan-st-1] quit

[AP] interface WLAN-BSS 1

[AP-WLAN-BSS 1] undo port-security port-mode

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们