05-端口安全配置
本章节下载 (372.68 KB)
1.1.5 端口安全对Guest VLAN和Auth-Fail VLAN的支持
1.11.2 端口安全userLoginWithOUI模式配置举例
1.11.3 端口安全macAddressElseUserLoginSecure模式配置举例
端口安全中对于接口的相关配置,目前可以在以太网接口及WLAN接口上进行。各命令支持接口类型的情况不同,具体请参见“端口安全命令”。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文;
· 未通过认证的用户报文。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证或被端口学习到的MAC所属的设备或主机上,从而防止非法设备窃听网络数据。
入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
基本的端口安全模式可大致分为两大类:控制MAC学习类和认证类。
· 控制MAC学习类无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。
· 认证类利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所在安全模式进行相应的处理(学习、认证),并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)或发送Trap告警。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表1-1。
安全模式 |
工作机制 |
NTK/入侵检测 |
||
缺省情况 |
noRestrictions |
表示端口的安全功能关闭,端口处于无限制状态 |
无效 |
|
端口控制MAC地址学习 |
autoLearn |
端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中 当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 该模式下,端口禁止学习动态MAC地址 |
可触发 |
|
secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
|||
端口采用802.1X认证 |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
无效 |
|
userLoginSecure |
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
可触发 |
||
userLoginWithOUI |
该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 · 在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口; · 在用户接入方式为无线的情况下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
|||
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|||
端口采用MAC地址认证 |
macAddressWithRadius |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
可触发 |
|
端口采用802.1X和MAC地址认证组合认证 |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式 · 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证,802.1X报文直接进行802.1X认证; · 在用户接入方式为无线的情况下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
可触发 |
|
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证; 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证;在用户接入方式为无线的情况下,非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证 |
|||
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取端口安全所允许的最大MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全所允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。
· 手工配置MAC地址的具体介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:
· “userLogin”表示基于端口的802.1X认证;
· “macAddress”表示MAC地址认证;
· “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。
· “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;
· 携带“Secure”的userLogin表示基于MAC地址的802.1X认证。
· 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功。
端口安全针对WLAN(Wireless Local Area Network,无线局域网)类型的接口,在原有安全模式的基础上增加presharedKey、macAddressAndPresharedKey、userlLoginSecureExtOrPresharedKey三种安全模式,实现了访问无线接入设备的链路层安全机制。
表1-2 端口安全支持WLAN模式描述表
安全模式 |
工作机制 |
NTK/入侵检测 |
presharedKey |
接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行会话密钥协商,协商成功后可访问网络资源 |
可触发 |
macAddressAndPresharedKey |
接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问网络资源 |
|
userLoginSecureExtOrPresharedKey |
接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商 |
PSK用户是指通过presharedKey安全模式认证上线的用户。不同端口安全模式下,端口可允许接入的最大用户数受到不同的限制,具体情况如下:
· presharedKey模式下,单个端口上允许的最大PSK用户数由无线接口可支持的最大用户数决定,如果端口上还设置了端口安全所允许的最大MAC地址数,则端口上的最大PSK用户数取两者的最小值。另外,整个系统所允许的最大PSK用户总数受系统规格限制,请以设备的软件规格为准;
· macAddressAndPresharedKey模式下,系统所允许的认证用户总数及单个端口上的最大用户数受MAC地址认证接入用户数限制,如果端口上还设置了端口安全所允许的最大MAC地址数,则端口上的最大用户数取两者的最小值。
· userLoginSecureExtOrPresharedKey模式下,单个端口以及系统所允许的最大PSK用户数限制与presharedKey模式同;系统所允许的802.1X认证用户总数及单个端口上的用户数受802.1X认证接入用户数限制;此外,如果端口上还设置了端口安全所允许的最大MAC地址数,则允许的PSK用户数及802.1X认证用户数之和不能超过该限制。
新增的模式目前只适用于无线产品接口类型。
在无线接入的情况下,若802.1X或MAC地址认证用户的MAC地址及所属的VLAN与配置的静态MAC及所属的VLAN相同,则由于无线链路无法建立,会导致用户不能接入无线网络。
802.1X认证的Guest VLAN是指允许用户在未认证的情况下,可以访问的指定VLAN。802.1X的Auth-Fail VLAN是指允许用户在认证失败的情况下,可以访问的指定VLAN。对于支持802.1X认证的安全模式来说,可配置Guest VLAN和Auth-Fail VLAN。关于802.1X认证的Guest VLAN和Auth-Fail VLAN的具体介绍请参见“安全配置指导”中的“802.1X”。
表1-3 端口安全配置任务简介
配置任务 |
说明 |
详细配置 |
|
使能端口安全功能 |
必选 |
||
配置端口安全允许的最大MAC地址数 |
可选 |
||
配置端口安全模式 |
必选 |
||
配置端口安全的特性 |
配置Need To Know特性 |
可选 根据实际组网需求选择其中一种或多种特性 |
|
配置入侵检测特性 |
|||
配置Trap特性 |
|||
配置安全MAC地址 |
可选 |
||
配置端口安全支持WLAN |
配置支持WLAN的端口安全模式 |
无线端口必选 |
|
使能密钥协商功能 |
|||
配置预共享密钥 |
|||
配置当前端口不应用服务器下发的授权信息 |
可选 |
在使能端口安全功能之前,需要关闭全局的802.1X和MAC地址认证功能。
表1-4 使能端口安全功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能端口安全功能 |
port-security enable |
必选 缺省情况下,端口安全功能未开启 |
执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:
· 802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto。
· 端口安全模式为noRestrictions。
当端口安全功能处于使能状态时,端口上的802.1X功能以及MAC地址认证功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。
在端口上有用户在线的情况下,端口安全功能无法关闭。
· 有关802.1X认证配置的详细介绍可参见“安全配置指导”中的“802.1X”。
· 有关MAC地址认证配置的详细介绍可参见“安全配置指导”中的“MAC地址认证”。
端口安全允许某个端口下有多个用户接入,但是允许的用户数不能超过规定的最大值。
配置端口允许的最大MAC地址数有两个作用:
· 控制端口允许接入网络的最大用户数。最终端口上允许接入的用户数为此处配置的最大MAC地址数和相应认证类安全模式下允许的用户数的较小值;
· 控制autoLearn模式下端口能够添加的最大安全MAC地址数。
表1-5 配置端口安全允许的最大MAC地址数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置端口安全允许的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
端口安全允许的最大MAC地址数与“二层技术-以太网交换配置指导/MAC地址表”中配置的端口最多可以学习到的MAC地址数无关,且不受其影响。
在配置端口安全模式之前,端口上需要满足以下条件:
· 802.1X认证关闭。
· MAC地址认证关闭。
· 端口未加入聚合组。
(如果以上条件不满足,则系统会提示错误信息,且不能进行端口安全模式的配置;如果端口上已经配置了端口安全模式,则以上配置就不允许改变。)
· 对于autoLearn模式,还需要提前设置端口安全允许的最大MAC地址数。但是如果端口已经工作在autoLearn模式下,则无法更改端口安全允许的最大MAC地址数。
· 在端口安全功能未使能的情况下,端口安全模式可以进行配置但不会生效。
· 端口上有用户在线的情况下,端口安全模式无法改变。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置允许通过认证的用户OUI值 |
port-security oui oui-value index index-value |
仅在安全模式为userlogin-withoui的情况下必选 缺省情况下,没有配置允许通过认证的用户OUI值 允许通过认证的用户OUI值可以配置多个 |
进入接口视图 |
interface interface-type interface-number |
- autoLearn、userloginWithOU模式只能在二层以太网类型的接口下配置 |
配置端口的安全模式 |
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必选 缺省情况下,端口处于noRestrictions模式 |
MSR系列路由器各款型在二层以太网接口对于autolearn、userlogin和secure三种端口安全模式的支持情况有所不同,详细差异信息如下:
型号 |
命令 |
参数 |
描述 |
MSR800 |
port-security port-mode |
autolearn、secure |
不支持 |
MSR 900 |
不支持 |
||
MSR900-E |
不支持 |
||
MSR 930 |
不支持 |
||
MSR 20-1X |
不支持 |
||
MSR 20 |
不支持 |
||
MSR 30 |
仅MSR30-11E/F支持 |
||
MSR 50 |
不支持 |
||
MSR 2600 |
不支持 |
||
MSR3600-51F |
支持 |
型号 |
命令 |
参数 |
描述 |
MSR800 |
port-security port-mode |
userlogin |
支持 |
MSR 900 |
支持 |
||
MSR900-E |
支持 |
||
MSR 930 |
支持 |
||
MSR 20-1X |
支持 |
||
MSR 20 |
支持 |
||
MSR 30 |
安装FSW二层交换模块后支持(MSR30-11E/F不支持) |
||
MSR 50 |
安装FSW二层交换模块后支持 |
||
MSR 2600 |
支持 |
||
MSR3600-51F |
不支持 |
MSR系列路由器各款型支持的二层交换模块卡对于autolearn、userlogin和secure三种端口安全模式的支持情况有所不同,详细差异信息如下:
型号 |
命令 |
参数 |
描述 |
SIC-4FSW/SIC-4FSW-POE |
port-security port-mode |
autolearn、secure |
不支持 |
DSIC-9FSW/DSIC-9FSW-POE |
不支持 |
||
XMIM-16FSW/XMIM-24FSW |
不支持 |
||
MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW |
支持 |
型号 |
命令 |
参数 |
描述 |
SIC-4FSW/SIC-4FSW-POE |
port-security port-mode |
userlogin |
支持 |
DSIC-9FSW/DSIC-9FSW-POE |
支持 |
||
XMIM-16FSW/XMIM-24FSW |
支持 |
||
MIM-16FSW/FIC-16FSW/DMIM-24FSW/FIC-24FSW |
支持 |
当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
该功能用来限制认证端口上出方向的报文转发。即,用户通过认证后,以此MAC为目的地址的报文都可以正常转发。并非所有的端口安全模式都支持Need To Know特性,配置时需要先了解各模式对此特性的支持情况。
Need To Know特性包括以下三种方式:
· ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。
· ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。
· ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。
配置了Need To Know的端口在以上任何一种方式下都不允许目的MAC地址未知的单播报文通过。
表1-7 配置Need To Know特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置端口Need To Know特性 |
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly } |
必选 缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送 |
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
配置端口Need To Know特性 |
不支持 |
MSR 900 |
支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持 |
|
MSR 50 |
支持 |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
当设备检测到一个非法的用户通过端口试图访问网络时,该特性用于配置设备可能对其采取的安全措施,包括以下三种方式:
· blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
· disableport:表示将收到非法报文的端口永久关闭。
· disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
工作在macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下的端口,对于同一个报文,只有MAC地址认证和802.1X认证均失败后,才会触发入侵检测特性。
表1-8 配置入侵检测特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置入侵检测特性 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必选 缺省情况下,不进行入侵检测处理 disableport参数仅二层以太网接口支持 |
退回系统视图 |
quit |
- |
配置系统暂时关闭端口连接的时间 |
port-security timer disableport time-value |
可选 缺省情况下,系统暂时关闭端口连接的时间为20秒 |
该特性用于端口上发生关键事件时触发告警开关输出对应的Trap信息,包括以下几种情况:
· addresslearned:端口学习到新MAC地址时发出告警信息。
· dot1xlogfailure/dot1xlogon/dot1xlogoff:802.1X用户认证失败/认证成功/下线时发出告警日志。
· ralmlogfailure/ralmlogon/ralmlogoff:MAC地址认证用户认证失败/认证成功/下线时发出告警信息。
· intrusion:发现非法报文时发出告警信息。
表1-9 配置Trap特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
打开指定告警信息的开关 |
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon } |
必选 缺省情况下,所有告警信息的开关处于关闭状态 |
安全MAC地址是一种特殊的MAC地址,不会因为端口状态的变化而被丢失,在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定。
安全MAC地址可以通过以下两种途径生成:
· 由autoLearn安全模式下的使能端口安全功能的端口自动学习。
· 通过命令行手动添加。
缺省情况下,所有的安全MAC地址均不老化,除非被管理员通过命令行手工删除,或因为配置的改变(端口的安全模式被改变,或端口安全功能被关闭)而被系统自动删除。但是,安全MAC地址不老化会带来一些问题,比如合法用户离开端口后,若有非法用户仿冒合法用户源MAC接入,会导致合法用户不能继续接入;或者虽然该合法用户已离开,但仍然占用端口MAC地址资源,而导致其它合法用户不能接入。因此,让某一类安全MAC地址能够定期老化,可提高端口接入的安全性和端口资源的利用率。我们将这类可老化的安全MAC地址称为Sticky MAC。
表1-1 安全MAC地址相关属性列表
生成方式 |
是否可老化 |
配置保存机制 |
老化机制 |
手工添加(未指定sticky关键字) |
不老化,称之为静态类型的安全MAC地址 |
安全MAC地址在保存配置文件并重启设备后,仍然存在 |
无 |
手工添加(指定sticky关键字) |
可老化(老化时间可配),称之为Sticky MAC地址 · 若老化时间为0,则表示不老化(缺省) · 若老化时间不为0,则表示安全MAC地址会老化 Sticky MAC地址可通过配置转换为动态类型的MAC地址 |
· Sticky MAC地址在保存配置文件并重启设备后,仍然存在,且其老化定时器会重新开始计时。(缺省) · 动态类型的安全MAC地址不能被保存在配置文件中,设备重启后会被丢失 |
· 定时老化(缺省) · 无流量老化 说明:无论是Sticky MAC地址还是动态类型的安全MAC地址,均遵循此老化机制 |
端口自动学习 |
|||
· 动态类型的安全MAC地址与Sticky MAC地址可通过配置相互转换,两者本质相同,仅配置保存方式不同。 · 无流量老化方式下,设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的Sticky MAC地址老化时间内没有任何流量产生,则才会被老化。 · 当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为安全MAC地址的报文和源MAC地址为手工配置的MAC地址的报文访问网络设备。 |
在配置安全MAC地址之前,需要完成以下配置任务:
· 使能端口安全功能
· 设置端口安全允许的最大MAC地址数
· 配置端口安全模式为autoLearn
表1-10 配置安全MAC地址
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置安全MAC地址的老化时间 |
port-security timer autolearn aging time-value |
可选 缺省情况下,安全MAC地址不会老化 |
|
配置安全MAC地址 |
在系统视图下 |
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id |
二者必选其一 缺省情况下,未配置安全MAC地址 |
在接口视图下 |
interface interface-type interface-number |
||
port-security mac-address security [ sticky ] mac-address vlan vlan-id |
|||
quit |
|||
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
|
配置安全地址的老化方式为无流量老化 |
port-security mac-address aging-type inactivity |
可选 缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化 |
|
将Sticky MAC地址设置为动态类型的安全MAC地址 |
port-security mac-address dynamic |
可选 缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失 |
动态类型的安全MAC地址不会被保存在配置文件中,可通过执行display port-security mac-address security命令查看到,设备重启之后会丢失。
不同的端口安全模式对密钥协商功能的支持情况不同,具体要求如表1-11所示。
安全模式 |
说明 |
presharedKey、userLoginSecureExt、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey四种端口安全模式 |
WPA或RSN网络环境下,在左侧列出的安全模式下,用户接入必须使能密钥协商功能 · presharedKey和macAddressAndPresharedKey模式下需要配置PSK; · userLoginSecureExt模式下不需要配置PSK; · userLoginSecureExtOrPresharedKey模式下可以选择是否配置PSK |
除presharedKey、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey之外,其它的端口安全模式 |
用户接入不需要进行PSK密钥协商,不用使能密钥协商功能 |
· 关于接口绑定的无线协议相关服务模板类型的具体配置,请参考无线配置的相关手册。
· 缺省情况下,802.1X认证会周期性的发送组播触发报文主动对客户端进行认证,为了节省无线端口的通信带宽,建议关闭802.1X认证的组播触发功能。相关配置请参考“安全配置指导”中的“802.1X”。
表1-12 配置支持WLAN端口安全模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置WLAN端口支持的安全模式 |
port-security port-mode { mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext } |
必选 缺省情况下,端口处于noRestrictions模式 |
在无线局域网中,用户认证通过后,可以利用EAPOL-Key帧与客户端进行链路层会话密钥的协商。802.1X中的EAPOL-Key帧用于交换加密密钥信息。
· 如果使能了密钥协商功能,则用户认证通过后,只有完成密钥协商才能打开端口;
· 如果未使能密钥协商功能,则用户认证通过后直接打开端口。
表1-13 使能密钥协商功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
使能11key类型的密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,11key类型的密钥协商功能处于关闭状态 |
设备上预先配置的预共享密钥用于协商接入用户与设备之间的会话密钥。
表1-14 配置预共享密钥
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key |
必选 缺省情况下,无预共享密钥 |
802.1X用户或MAC地址认证用户在RADIUS服务器或设备上通过认证时,服务器或设备会把授权信息下发给用户。通过此配置可实现基于端口是否忽略RADIUS服务器或设备本地下发的授权信息。
表1-15 配置当前端口不应用下发的授权信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置当前端口不应用RADIUS服务器或设备本地下发的授权信息 |
port-security authorization ignore |
必选 缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后端口安全的运行情况,通过查看显示信息验证配置的效果。
表1-16 端口安全显示和维护
操作 |
命令 |
显示端口安全的配置信息、运行情况和统计信息 |
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
显示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
显示阻塞MAC地址信息 |
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
显示端口安全的PSK用户信息 |
display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
在Device的端口Ethernet1/1上对接入用户做如下的限制:
· 允许64个用户自由接入,不进行认证,将学习到的用户MAC地址添加为Sticky安全MAC地址,老化时间为30分钟;
· 当安全MAC地址数量达到64后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。
图1-1 端口安全autoLearn模式组网图
(1) 具体的配置步骤
<Device> system-view
# 使能端口安全功能。
[Device] port-security enable
# 设置Sticky MAC地址的老化时间为30分钟。
[Device] port-security timer autolearn aging 30
# 打开入侵检测Trap开关。
[Device] port-security trap intrusion
[Device] interface ethernet 1/1
# 设置端口安全允许的最大MAC地址数为64。
[Device-Ethernet1/1] port-security max-mac-count 64
# 设置端口安全模式为autoLearn。
[Device-Ethernet1/1] port-security port-mode autolearn
# 设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。
[Device-Ethernet1/1] port-security intrusion-mode disableport-temporarily
[Device-Ethernet1/1] quit
[Device] port-security timer disableport 30
(2) 验证配置结果
上述配置完成后,可以用display命令显示端口安全配置情况,如下:
[Device] display port-security interface ethernet 1/1
Equipment port-security is enabled
Intrusion trap is enabled
AutoLearn aging time is 30 minutes
Disableport Timeout: 30s
OUI value:
Ethernet1/1 is link-up
Port mode is autoLearn
NeedToKnow mode is disabled
Intrusion Protection mode is DisablePortTemporarily
Max MAC address number is 64
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
可以看到端口安全所允许的最大MAC数为64,端口模式为autoLearn,入侵检测Trap开关打开,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒。
配置完成后,允许地址学习,学习到的MAC地址数可以用上述命令显示,如学习到5个,那么存储的安全MAC地址数就为5,可以在接口视图下用display this命令查看学习到的MAC地址,如:
[Device] interface ethernet 1/1
[Device-Ethernet1/1] display this
#
interface Ethernet1/1
port-security max-mac-count 64
port-security port-mode autolearn
port-security mac-address security sticky 0002-0000-0015 vlan 1
port-security mac-address security sticky 0002-0000-0014 vlan 1
port-security mac-address security sticky 0002-0000-0013 vlan 1
port-security mac-address security sticky 0002-0000-0012 vlan 1
port-security mac-address security sticky 0002-0000-0011 vlan 1
#
当学习到的MAC地址数达到64后,用命令display port-security interface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,Trap信息如下:
#Jul 14 10:39:47:135 2009 Device PORTSEC/4/VIOLATION: Trap1.3.6.1.4.1.25506.2.26.1.3.2<hh3cSecureViolation>
An intrusion occurs!
IfIndex: 9437185
Port: 9437185
MAC Addr: 00:02:00:00:00:32
VLAN ID: 1
IfAdminStatus: 1
并且可以通过下述命令看到端口安全将此端口关闭:
[Device-Ethernet1/1] display interface ethernet 1/1
Ethernet1/1 current state: DOWN (Port Security Disabled)
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: Ethernet1/1 Interface
......
30秒后,端口状态恢复:
[Device-Ethernet1/1] display interface ethernet 1/1
Ethernet1/1 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: Ethernet1/1 Interface
......
此时,如手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。
客户端通过端口Ethernet1/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2的RADIUS服务器作为主认证/备份计费服务器,IP地址为192.168.1.3的RADIUS服务器作为备份认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。
· 所有接入用户都使用ISP域sun的缺省认证/授权/计费方案,该域最多可容纳30个用户;
· 系统向RADIUS服务器重发报文的时间间隔为5秒,重发次数为5次,发送实时计费报文的时间间隔为15分钟,发送的用户名不带域名。
Device的管理者希望对接入用户的端口Ethernet1/1做如下限制:
· 允许一个802.1X用户上线;
· 最多可以配置16个OUI值,还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图1-2 端口安全userLoginWithOUI模式组网图
· 下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全配置指导”中的“AAA”。
· 客户端和RADIUS服务器之间路由可达,认证相关的配置略。
(1) 具体的配置步骤
· 配置RADIUS协议
<Device> system-view
# 配置RADIUS方案。
[Device] radius scheme radsun
[Device-radius-radsun] primary authentication 192.168.1.2
[Device-radius-radsun] primary accounting 192.168.1.3
[Device-radius-radsun] secondary authentication 192.168.1.3
[Device-radius-radsun] secondary accounting 192.168.1.2
[Device-radius-radsun] key authentication name
[Device-radius-radsun] key accounting money
[Device-radius-radsun] timer response-timeout 5
[Device-radius-radsun] retry 5
[Device-radius-radsun] timer realtime-accounting 15
[Device-radius-radsun] user-name-format without-domain
[Device-radius-radsun] quit
# 配置ISP域。
[Device] domain sun
[Device-isp-sun] authentication default radius-scheme radsun
[Device-isp-sun] authorization default radius-scheme radsun
[Device-isp-sun] accounting default radius-scheme radsun
[Device-isp-sun] access-limit enable 30
[Device-isp-sun] quit
· 配置802.1X
# 配置802.1X的认证方式为CHAP。(该配置可选,缺省情况下802.1X的认证方式为CHAP)
[Device] dot1x authentication-method chap
· 配置端口安全特性
# 使能端口安全功能。
[Device] port-security enable
# 添加5个OUI值。
[Device] port-security oui 1234-0100-1111 index 1
[Device] port-security oui 1234-0200-1111 index 2
[Device] port-security oui 1234-0300-1111 index 3
[Device] port-security oui 1234-0400-1111 index 4
[Device] port-security oui 1234-0500-1111 index 5
[Device] interface ethernet 1/1
# 设置端口安全模式为userLoginWithOUI。
[Device-Ethernet1/1] port-security port-mode userlogin-withoui
[Device-Ethernet1/1] quit
(2) 验证配置结果
查看名为radsun的RADIUS方案的配置信息:
[Device] display radius scheme radsun
SchemeName : radsun
Index : 1 Type : standard
Primary Auth Server:
IP: 192.168.1.2 Port: 1812 State: active
Encryption Key : N/A
VPN instance : N/A
Probe username : N/A
Probe interval : N/A
Primary Acct Server:
IP: 192.168.1.3 Port: 1813 State: active
Encryption Key : N/A
VPN instance : N/A
Second Auth Server:
IP: 192.168.1.3 Port: 1812 State: active
Encryption Key : N/A
VPN instance : N/A
Probe username : N/A
Probe interval : N/A
Second Acct Server:
IP: 192.168.1.2 Port: 1813 State: active
Encryption Key : N/A
VPN instance : N/A
Auth Server Encryption Key : ******
Acct Server Encryption Key : ******
Accounting-On packet disable, send times : 50, interval : 3s
Interval for timeout(second) : 5
Retransmission times for timeout : 5
Interval for realtime accounting(minute) : 15
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
查看名为sun的ISP域的配置信息:
[Device] display domain sun
Domain : sun
State : Active
Access-limit : 30
Accounting method : Required
Default authentication scheme : radius:radsun
Default authorization scheme : radius:radsun
Default accounting scheme : radius:radsun
Domain User Template:
Idle-cut : Disabled
Session-time : exclude-idle-time
Self-service : Disabled
Authorization attributes:
查看端口安全的配置信息:
[Device] display port-security interface ethernet 1/1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 123401
Index is 2, OUI value is 123402
Index is 3, OUI value is 123403
Index is 4, OUI value is 123404
Index is 5, OUI value is 123405
Ethernet1/1 is link-up
Port mode is userLoginWithOUI
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
配置完成后,如果有802.1X用户上线,则可以看到存储的安全MAC地址数为1。还可以通过下述命令查看802.1X用户的情况:
[Device] display dot1x interface ethernet 1/1
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD quick deploy is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 2
EAD quick deploy configuration:
EAD timeout: 30m
The maximum 802.1X user resource number is 1024 per slot
Total current used 802.1X resource number is 1
Ethernet1/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 256
EAPOL Packet: Tx 16331, Rx 102
Sent EAP Request/Identity Packets : 16316
EAP Request/Challenge Packets: 6
EAP Success Packets: 4, Fail Packets: 5
Received EAPOL Start Packets : 6
EAPOL LogOff Packets: 2
EAP Response/Identity Packets : 80
EAP Response/Challenge Packets: 6
Error Packets: 0
1. Authenticated user : MAC address: 0002-0000-0011
Controlled User(s) amount to 1
此外,端口还允许一个与OUI值匹配的MAC地址的用户通过,可以通过下述命令查看:
[Device] display mac-address interface ethernet 1/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
1234-0300-0011 1 Learned Ethernet1/1 AGING
--- 1 mac address(es) found ---
客户端通过端口Ethernet1/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证。如果认证成功,客户端被授权允许访问Internet资源。
Device的管理者希望对接入用户的端口Ethernet1/1做如下的限制:
· 可以有多个MAC认证用户上线;
· 如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证。802.1X用户限制为1个;
· MAC地址认证用户使用MAC地址作为用户名和密码,其中MAC地址带连字符、字母小写;
· 上线的MAC地址认证用户和802.1X认证用户总和不能超过64个;
· 为防止报文发往未知目的MAC地址,启动Need To Know特性。
同图1-2所示。
· RADIUS认证/计费及ISP域的配置同1.11.2 ,这里不再赘述。
· 接入用户和RADIUS服务器之间路由可达,认证相关的配置略。
(1) 具体的配置步骤
<Device> system-view
# 使能端口安全功能。
[Device] port-security enable
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain sun
# 配置802.1X的认证方式为CHAP。(该配置可选,缺省情况下802.1X的认证方式为CHAP)
[Device] dot1x authentication-method chap
# 设置端口安全允许的最大MAC地址数为64。
[Device] interface ethernet 1/1
[Device-Ethernet1/1] port-security max-mac-count 64
# 设置端口安全模式为macAddressElseUserLoginSecure。
[Device-Ethernet1/1] port-security port-mode mac-else-userlogin-secure
# 设置端口Need To Know模式为ntkonly。
[Device-Ethernet1/1] port-security ntk-mode ntkonly
[Device-Ethernet1/1] quit
(2) 验证配置结果
查看端口安全的配置信息:
[Device] display port-security interface ethernet 1/1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Ethernet1/1 is link-up
Port mode is macAddressElseUserLoginSecure
NeedToKnow mode is NeedToKnowOnly
Intrusion Protection mode is NoAction
Max MAC address number is 64
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
查看MAC地址认证情况:
[Device] display mac-authentication interface ethernet 1/1
MAC address authentication is enabled.
User name format is MAC address in lowercase,like xx-xx-xx-xx-xx-xx
Fixed username: mac
Fixed password: not configured
Offline detect period is 60s
Quiet period is 5s
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 3
Current domain is mac
Silent MAC User info:
MAC Addr From Port Port Index
Ethernet1/1 is link-up
MAC address authentication is enabled
Authenticate success: 3, failed: 7
Max number of on-line users is 256
Current online user number is 3
MAC ADDR Authenticate state Auth Index
1234-0300-0011 MAC_AUTHENTICATOR_SUCCESS 13
1234-0300-0012 MAC_AUTHENTICATOR_SUCCESS 14
1234-0300-0013 MAC_AUTHENTICATOR_SUCCESS 15
查看802.1X认证情况:
<Device> display dot1x interface ethernet 1/1
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD quick deploy is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
The maximal retransmitting times 2
EAD quick deploy configuration:
EAD timeout: 30m
Total maximum 802.1X user resource number is 1024 per slot
Total current used 802.1X resource number is 1
Ethernet1/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 256
EAPOL Packet: Tx 16331, Rx 102
Sent EAP Request/Identity Packets : 16316
EAP Request/Challenge Packets: 6
EAP Success Packets: 4, Fail Packets: 5
Received EAPOL Start Packets : 6
EAPOL LogOff Packets: 2
EAP Response/Identity Packets : 80
EAP Response/Challenge Packets: 6
Error Packets: 0
1. Authenticated user : MAC address: 0002-0000-0011
Controlled User(s) amount to 1
此外,因为设置了Need To Know特性,目的MAC地址未知、广播和多播报文都被丢弃。
无法配置端口安全模式。
[Device-Ethernet1/1] port-security port-mode autolearn
Error:When we change port-mode, we should first change it to noRestrictions, then change it to the other.
在当前端口安全模式已配置的情况下,无法直接对端口安全模式进行设置。
首先设置端口安全模式为noRestrictions状态。
[Device-Ethernet1/1] undo port-security port-mode
[Device-Ethernet1/1] port-security port-mode autolearn
无法配置端口安全MAC地址。
[Device-Ethernet1/1] port-security mac-address security 1-1-2 vlan 1
Error: Security MAC address configuration failed.
Error:Can not operate security MAC address for current port mode is not autoLearn!
端口安全模式为非autoLearn时,不能对安全MAC地址进行设置。
设置端口安全模式为autoLearn状态。
[Device-Ethernet1/1] undo port-security port-mode
[Device-Ethernet1/1] port-security max-mac-count 64
[Device-Ethernet1/1] port-security port-mode autolearn
[Device-Ethernet1/1] port-security mac-address security 1-1-2 vlan 1
802.1X或MAC地址认证用户在线的情况下,更换端口安全模式失败。
[Device-Ethernet1/1] undo port-security port-mode
Error:Cannot configure port-security for there is 802.1X user(s) on line on port Ethernet1/1.
有802.1X或MAC认证用户在线的情况下,禁止更换端口安全模式。
断开端口与用户的连接后再进行端口安全模式更换,可以通过cut命令强制切断连接。
[Device-Ethernet1/1] quit
[Device] cut connection interface ethernet 1/1
[Device] interface ethernet 1/1
[Device-Ethernet1/1] undo port-security port-mode
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!