• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全配置指导

目录

05-端口安全配置

本章节下载 05-端口安全配置  (842.59 KB)

05-端口安全配置

  录

1 端口安全

1.1 端口安全简介

1.1.1 概述

1.1.2 端口安全的特性

1.1.3 端口安全模式

1.1.4 端口安全支持M-LAG

1.2 端口安全配置限制和指导

1.3 端口安全配置任务简介

1.4 使能端口安全

1.5 配置端口安全允许的最大安全MAC地址数

1.6 配置端口安全模式

1.7 配置端口安全的特性

1.7.1 配置Need To Know特性

1.7.2 配置入侵检测特性

1.8 配置安全MAC地址

1.9 配置指定VLAN内端口安全功能允许同时接入的最大MAC地址数

1.10 配置M-LAG接口上用户认证的负载分担模式

1.11 配置当前端口不应用下发的授权信息

1.12 配置允许MAC迁移功能

1.13 配置允许MAC迁移同步的远端MAC表项覆盖本端的原MAC表项

1.14 配置授权失败用户下线功能

1.15 配置开放认证模式

1.15.1 功能简介

1.15.2 配置限制和指导

1.15.3 配置步骤

1.16 配置端口安全的Free VLAN功能

1.17 配置NAS-ID Profile

1.18 配置端口安全逃生到Critical VSI

1.19 配置端口安全接入用户流量统计功能

1.20 配置端口安全告警功能

1.21 配置端口的认证顺序

1.22 配置端口安全用户的认证前域

1.23 配置端口安全用户重定向URL不可达时的逃生域

1.24 配置端口接入认证的静态用户

1.24.1 配置端口接入认证的静态用户

1.24.2 配置允许设备更新静态用户的IP地址

1.24.3 配置端口上最多允许同时接入的静态用户数

1.24.4 配置静态用户MAC地址的匹配规则

1.25 配置端口非认证成功在线用户定时器

1.26 配置允许用户在隔离组的成员端口间免认证迁移

1.27 配置端口安全接入用户日志信息功能

1.28 端口安全显示和维护

1.29 端口安全典型配置举例

1.29.1 端口安全autoLearn模式配置举例

1.29.2 端口安全userLoginWithOUI模式配置举例

1.29.3 端口安全macAddressElseUserLoginSecure模式配置举例

1.29.4 端口安全支持M-LAG配置举例

1.30 常见配置错误举例

1.30.1 端口安全模式无法设置

1.30.2 无法配置安全MAC地址

 


1 端口安全

1.1  端口安全简介

1.1.1  概述

端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:

·     MAC地址未被端口学习到的用户报文;

·     未通过认证的用户报文。

由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用相关特性。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。

1.1.2  端口安全的特性

1. Need To Know特性(NTK)

Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证或被端口学习到的MAC所属的设备或主机上,从而防止非法设备窃听网络数据。

2. 入侵检测(Intrusion Protection)特性

入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被阻塞一段时间,以保证端口的安全性。

1.1.3  端口安全模式

端口安全模式可大致分为两大类:控制MAC学习类和认证类。

·     控制MAC学习类:无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。

·     认证类:利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。

配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所采用的安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)或发送Trap告警。缺省情况下,端口出方向的报文转发不受端口安全限制,若触发了端口Need To Know,则才受相应限制。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表1-1

表1-1 端口安全模式描述表

端口安全采用方式

安全模式

触发的安全防护措施

关闭端口安全特性

noRestrictions(缺省情况)

表示端口的安全功能关闭,端口处于无限制状态

端口控制MAC地址学习

autoLearn

NTK/入侵检测

secure

端口采用802.1X认证

userLogin

NTK(ntkauto方式)

userLoginSecure

NTK/入侵检测

userLoginSecureExt

userLoginWithOUI

端口采用MAC地址认证

macAddressWithRadius

NTK/入侵检测

端口采用802.1X和MAC地址认证组合认证

Or

macAddressOrUserLoginSecure

NTK/入侵检测

macAddressOrUserLoginSecureExt

Else

macAddressElseUserLoginSecure

macAddressElseUserLoginSecureExt

And

macAddressAndUserLoginSecureExt

 

说明

·     当多个用户通过认证时,端口下所允许的最大用户数与端口安全模式相关,取端口安全所允许的最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全所允许的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。

·     手工配置MAC地址的具体介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。

 

窍门

由于安全模式种类较多,为便于记忆,部分端口安全模式的名称可按如下规则理解:

·     “userLogin”表示基于端口的802.1X认证。userLogin之后,若携带“Secure”,则表示基于MAC地址的802.1X认证;若携带“Ext”,则表示可允许多个802.1X用户认证成功,否则表示仅允许一个802.1X用户认证成功。

·     “macAddress”表示MAC地址认证;

·     “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。

·     “Or”之后的认证方式先被采用,失败后转为“Or”之前的认证方式。

·     “And”之前的认证方式先被采用,成功后再根据请求认证的报文协议类型进行“And”之后的认证方式。

 

1. 端口控制MAC地址学习

·     autoLearn

该模式下,端口不会将自动学习到的MAC地址添加为MAC地址表中的动态MAC地址,而是将这些地址添加到安全MAC地址表中,称之为安全MAC地址。也可以通过port-security mac-address security命令手工配置端口下的安全MAC地址。

只有源MAC地址为安全MAC地址、通过命令mac-address dynamicmac-address static手工配置的MAC地址的报文,才能通过该端口。当端口下的安全MAC地址数超过端口安全允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC。

·     secure

该模式下,禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、通过命令mac-address dynamicmac-address static手工配置的MAC地址的报文,才能通过该端口。有关MAC地址的详细配置,请参见“二层技术-以太网交换”中的“MAC地址表”。

2. 端口采用802.1X认证

·     userLogin

此模式下,端口对接入用户采用基于端口的802.1X认证方式。端口下支持接入多个802.1X用户,且第一个802.1X用户认证成功后,其它用户无须认证就可接入。

·     userLoginSecure

此模式下,端口对接入用户采用基于MAC地址的802.1X认证方式,且最多只允许一个802.1X认证用户接入。

·     userLoginSecureExt

该模式与userLoginSecure模式类似,但端口支持多个802.1X认证用户接入。

·     userLoginWithOUI

该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符。

此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口。

说明

OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。

 

3. 端口采用MAC地址认证

macAddressWithRadius:端口对接入用户采用MAC地址认证,且允许多个用户接入。

4. 端口采用802.1X和MAC地址认证组合认证

·     macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.1X认证用户及多个MAC地址认证用户接入。

此模式下,802.1X认证优先级大于MAC地址认证:报文首先触发802.1X认证,默认情况下,如果802.1X认证失败再进行MAC地址认证;若开启了端口的MAC地址认证和802.1X认证并行处理功能,则端口配置了802.1X单播触发功能的情况下,当端口收到源MAC地址未知的报文,会向该MAC地址单播发送EAP-Request帧来触发802.1X认证,但不等待802.1X认证处理完成,就同时进行MAC地址认证。

·     macAddressOrUserLoginSecureExt

与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户。

·     macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证。允许端口下一个802.1X认证用户及多个MAC地址认证用户接入。

非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证。

·     macAddressElseUserLoginSecureExt      

与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户。

·     macAddressAndUserLoginSecureExt

此模式下,对接入用户先进行MAC地址认证,认证成功后作为临时MAC地址认证用户,仅能访问802.1X Guest VLAN或Guest VSI的资源。之后,端口收到同一MAC地址用户的802.1X协议报文时,再进行802.1X认证。802.1X认证成功后,临时MAC地址认证用户下线,802.1X用户上线成功。

1.1.4  端口安全支持M-LAG

图1-1所示,Device A与Device B形成负载分担,共同进行流量转发,当其中一台设备发生故障时,流量可以快速切换到另一台设备,保证业务的正常运行。

在M-LAG组网中,端口安全支持配置M-LAG接口上用户认证的负载分担模式。为保证所有M-LAG接口上送的用户报文都有M-LAG设备进行认证处理,且同一用户的报文同时只在一台M-LAG设备上进行认证处理,端口安全支持如下三种负载分担模式:

·     集中处理模式:该模式下,本端和对端M-LAG接口上送的用户报文都集中到M-LAG主设备处理。

·     分布处理模式:该模式下,M-LAG接口上的用户报文根据分布规则分布到两台M-LAG设备上处理。

¡     本地模式:分布处理本地上送的用户报文,本端M-LAG接口上送的用户报文在本端M-LAG设备处理。

¡     奇偶模式:分布处理本端M-LAG设备和对端M-LAG设备上送的奇偶MAC用户报文。此模式下,两台设备需配置不同的处理模式,若一端设备配置处理奇MAC报文,另一端则需配置为处理偶MAC报文。

当M-LAG接口相连的接入设备上选择了不同的聚合负载分担类型时,通过选择相应的端口安全负载分担模式,可以满足各种聚合负载分担场景下的认证业务需要。

配置M-LAG接口上用户认证的负载分担模式后,若用户在本端M-LAG设备上通过认证,需要将用户数据同步发送到对端M-LAG设备进行备份。当一端M-LAG设备发生故障时,对端M-LAG设备可以使用备份的用户数据接替处理业务,从而保证用户业务的正常运行。

图1-1 端口安全支持M-LAG组网示意图

 

1.2  端口安全配置限制和指导

·     端口安全的secure、userlogin-withoui模式不支持在二层以太网聚合接口配置。其余支持配置端口安全功能的端口均可为二层以太网接口和二层聚合接口。

·     二层以太网接口加入聚合组后,在该接口上配置的端口安全功能不生效。

·     在二层聚合接口上有802.1X或MAC地址认证用户在线的情况下,请不要删除该二层聚合接口。

·     M-LAG场景下,在设备上开启RADIUS DAE服务后,设备不支持通过COA请求报文关闭/重启802.1X、MAC地址认证和Web认证用户接入端口或重认证用户。关于RADIUS DAE服务详细信息请参见“安全配置指导”中的“AAA”。

·     当用户认证成功后被授权重定向URL或设备上开启EAD快速部署功能时,用户报文进入的VLAN或VSI里必须有三层接口(比如VLAN接口或VSI虚接口)存在,否则将导致HTTPS重定向失败。

1.3  端口安全配置任务简介

表1-2 端口安全配置任务简介

配置任务

说明

详细配置

使能端口安全

必选

1.4 

配置端口安全允许的最大安全MAC地址数

可选

1.5 

配置端口安全模式

必选

1.6 

配置端口安全的特性

配置Need To Know特性

根据实际组网需求选择其中一种或多种特性

1.7 

配置入侵检测模式

配置安全MAC地址

可选

1.8 

配置指定VLAN内端口安全功能允许同时接入的最大MAC地址数

可选

1.9 

配置M-LAG接口上用户认证的负载分担模式

仅在M-LAG组网中需要完成本配置

1.10 

配置端口安全扩展功能

配置当前端口不应用下发的授权信息

可选

以上端口安全扩展功能,在未使能端口安全,但开启802.1X或MAC地址认证功能的情况下也适用。

1.11 

配置允许MAC迁移功能

1.12 

配置允许MAC迁移同步的远端MAC表项覆盖本端的原MAC表项

1.13 

配置授权失败用户下线功能

1.14 

配置开放认证模式

1.15 

配置端口安全的Free VLAN功能

1.16 

配置NAS-ID Profile

1.17 

配置端口安全逃生到Critical VSI

可选

1.18 

配置端口安全接入用户流量统计

可选

1.19 

配置端口安全告警功能

可选

1.20 

配置端口的认证顺序

可选

1.21 

配置端口安全用户的认证前域

可选

1.22 

配置端口安全用户重定向URL不可达时的逃生域

可选

1.23 

配置端口接入认证的静态用户

可选

1.24 

配置端口非认证成功在线用户定时器的值

可选

1.25 

配置允许用户在隔离组的成员端口间免认证迁移

可选

1.26 

配置端口安全接入用户日志信息功能

可选

1.27 

 

1.4  使能端口安全

在使能端口安全之前,需要关闭全局的802.1X和MAC地址认证。

当端口安全处于使能状态时,不能开启端口上的802.1X以及MAC地址认证,且不能修改802.1X端口接入控制方式和端口授权状态,它们只能随端口安全模式的改变由系统更改。

表1-3 使能端口安全

操作

命令

说明

进入系统视图

system-view

-

使能端口安全

port-security enable

缺省情况下,端口安全处于关闭状态

 

可以通过undo port-security enable命令关闭端口安全。但需要注意的是,在端口上有用户在线的情况下,关闭端口安全会导致在线用户下线。

执行使能或关闭端口安全的命令后,端口上的如下配置会被自动恢复为以下缺省情况:

·     802.1X端口接入控制方式为macbased

·     802.1X端口的授权状态为auto

有关802.1X认证配置的详细介绍可参见“安全配置指导”中的“802.1X”。有关MAC地址认证配置的详细介绍可参见“安全配置指导”中的“MAC地址认证”。

1.5  配置端口安全允许的最大安全MAC地址数

端口安全允许某个端口下有多个用户接入,但是允许的用户数不能超过规定的最大值。

配置端口允许的最大安全MAC地址数有两个作用:

·     控制端口允许接入网络的最大用户数。对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值;

·     控制autoLearn模式下端口能够添加的最大安全MAC地址数。

端口安全允许的最大安全MAC地址数与“二层技术-以太网交换配置指导/MAC地址表”中配置的端口最多可以学习到的MAC地址数无关,且不受其影响。

对于autolearn模式,还可以配置指定VLAN内允许的最大安全MAC地址数。当不指定具体的VLAN时,表示的是接口允许的每个VLAN内的最大安全MAC地址数;否则表示指定VLAN内的最大安全MAC地址数。当VLAN内的MAC地址数达到最大限制时,会触发入侵检测。

表1-4 配置端口安全允许的最大安全MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口安全允许的最大安全MAC地址数

port-security max-mac-count max-count  [ vlan [ vlan-id-list ] ]

缺省情况下,端口安全不限制本端口可保存的最大安全MAC地址数

 

1.6  配置端口安全模式

1. 配置限制和指导

·     在端口安全未使能的情况下,端口安全模式可以进行配置但不会生效。

·     端口上有用户在线的情况下,改变端口的安全模式会导致在线用户会下线。

·     端口安全模式为mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extuserlogin-withoui,设备支持RADIUS扩展属性下发重定向URL。即:用户认证后,设备会根据RADIUS服务器下发的重定向URL属性,将用户的HTTP或HTTPS请求重定向到指定的Web认证页面。Web认证通过后,RADIUS服务器记录用户的MAC地址,并通过DM报文强制Web用户下线。此后该用户再次发起802.1X认证或MAC地址认证,由于RADIUS服务器上已记录该用户和其MAC地址的对应信息,用户可以成功上线。

·     端口安全模式为macAddressAndUserLoginSecureExt时,为了保证802.1X客户端可以发起认证,建议通过dot1x unicast-trigger命令开启端口上的802.1X单播触发功能。此模式下,MAC地址认证的Guest VLAN或Guest VSI不生效,如有需要请配置802.1X Guest VLAN或Guest VSI。此外,配置本模式后,如果不需要对临时MAC地址认证用户进行计费,请单独为MAC地址认证用户配置ISP域,并指定计费方式为不计费。

·     若需要对用户的HTTPS请求进行重定向,需要在设备上配置对HTTPS报文进行重定向的内部侦听端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

·     端口安全模式为userlogin-withoui时,授权VSI应用场景下,不支持配置允许通过认证的用户OUI值。

2. 配置准备

(1)     在配置端口安全模式之前,端口上首先需要满足以下条件:

·     802.1X认证关闭。

·     MAC地址认证关闭。

·     端口未加入聚合组或业务环回组。

如果端口上已经配置了端口安全模式,则不允许开启802.1X认证和MAC地址认证。

(2)     对于autoLearn模式,还需要提前设置端口安全允许的最大安全MAC地址数。但是如果端口已经工作在autoLearn模式下,则无法更改端口安全允许的最大安全MAC地址数。

3. 配置步骤

表1-5 配置端口安全模式

操作

命令

说明

进入系统视图

system-view

-

(可选)配置允许通过认证的用户OUI值

port-security oui index index-value mac-address oui-value

该命令仅在配置userlogin-withoui安全模式时必选

缺省情况下,不存在允许通过认证的用户OUI值

允许通过认证的用户OUI值可以配置多个,但在端口安全模式为userLoginWithOUI时,端口除了可以允许一个802.1X的接入用户通过认证之外,仅允许一个与某OUI值匹配的用户通过认证

进入接口视图

interface interface-type interface-number

·     autoLearn模式只能在二层以太网接口下配置

·     userloginWithOUI模式只能在二层以太网下配置

配置端口的安全模式

port-security port-mode { autolearn | mac-and-userlogin-secure-ext | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

缺省情况下,端口处于noRestrictions模式

当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式

 

说明

OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。

 

1.7  配置端口安全的特性

1.7.1  配置Need To Know特性

Need To Know特性用来限制端口上出方向的报文转发,可支持以下几种限制方式:

·     ntkonly:仅允许目的MAC地址为已知MAC地址的单播报文通过。

·     ntk-withbroadcasts:允许广播地址报文、目的MAC地址为已知MAC地址的单播报文通过。

·     ntk-withmulticasts:允许广播地址报文、组播地址报文和目的MAC地址为已知MAC地址的单播报文通过。

·     ntkauto仅当有用户认证上线后,才允许广播地址报文、组播地址报文和目的MAC地址为已知MAC地址的单播报文通过。

配置了Need To Know的端口在以上任何一种方式下都不允许目的MAC地址未知的单播报文通过。

并非所有的端口安全模式都支持Need To Know特性,配置时需要先了解各模式对此特性的支持情况,具体请参见表1-1

表1-6 配置Need To Know特性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口Need To Know特性

port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkauto | ntkonly }

缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送

 

1.7.2  配置入侵检测特性

当设备检测到一个非法的用户通过端口试图访问网络时,入侵检测特性用于配置设备可能对其采取的安全措施,包括以下三种方式:

·     blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞一段时间后恢复正常。阻塞时长可通过port-security timer blockmac命令配置。

·     disableport:表示将收到非法报文的端口永久关闭。

·     disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

表1-7 配置入侵检测特性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置入侵检测特性

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

缺省情况下,不进行入侵检测处理

退回系统视图

quit

-

(可选)配置系统暂时关闭端口的时间

port-security timer disableport time-value

缺省情况下,系统暂时关闭端口的时间为20秒

(可选)配置将非法报文的源MAC地址加入阻塞MAC地址列表的时间

port-security timer blockmac time-value

缺省情况下,将非法报文的源MAC地址加入阻塞MAC地址列表的时间为180秒

 

说明

macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,对于同一个报文,只有MAC地址认证和802.1X认证均失败后,才会触发入侵检测特性。

 

1.8  配置安全MAC地址

1. 功能简介

安全MAC地址是一种特殊的MAC地址,保存配置后重启设备,不会丢失。在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上。

安全MAC地址可以通过以下两种途径生成:

·     由autoLearn安全模式下的使能端口安全功能的端口自动学习。

·     通过命令行手动添加。

缺省情况下,所有的安全MAC地址均不老化,除非被管理员通过命令行手工删除,或因为配置的改变(端口的安全模式被改变,或端口安全功能被关闭)而被系统自动删除。但是,安全MAC地址不老化会带来一些问题:合法用户离开端口后,若有非法用户仿冒合法用户源MAC接入,会导致合法用户不能继续接入;虽然该合法用户已离开,但仍然占用端口MAC地址资源,而导致其它合法用户不能接入。因此,让某一类安全MAC地址能够定期老化,可提高端口接入的安全性和端口资源的利用率。

表1-8 安全MAC地址相关属性列表

类型

生成方式

配置保存机制

老化机制

静态

手工添加(未指定sticky关键字)

安全MAC地址在保存配置文件并重启设备后,仍然存在

不老化

Sticky

手工添加(指定sticky关键字),或端口自动学习

Sticky MAC地址在保存配置文件并重启设备后,仍然存在,且其老化定时器会重新开始计时

Sticky MAC地址可通过配置转换为动态类型的MAC地址。动态类型的安全MAC地址不能被保存在配置文件中,设备重启后会被丢失

支持两种老化机制:

·     定时老化。若老化时间为0,则表示不老化(缺省)

·     无流量老化。设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的Sticky MAC地址老化时间内没有任何流量产生,则才会被老化

 

说明

当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为以下两类MAC地址的报文访问网络设备:

·     安全MAC地址

·     通过命令mac-address dynamicmac-address static配置的MAC地址

 

2. 配置准备

在配置安全MAC地址之前,需要完成以下配置任务:

·     使能端口安全功能

·     设置端口安全允许的最大MAC地址数

·     配置端口安全模式为autoLearn

·     当前的接口必须允许指定的VLAN通过或已加入该VLAN,且该VLAN已存在

3. 配置步骤

表1-9 配置安全MAC地址

操作

命令

说明

进入系统视图

system-view

-

(可选)配置安全MAC地址的老化时间

port-security timer autolearn aging [ second ] time-value

缺省情况下,安全MAC地址不会老化

配置安全MAC地址

在系统视图下

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

二者选其一

缺省情况下,未配置安全MAC地址

与相同VLAN绑定的同一个MAC地址不允许同时指定为静态类型的安全MAC地址和Sticky MAC地址

在接口视图下

interface interface-type interface-number

port-security mac-address security [ sticky ] mac-address vlan vlan-id

进入接口视图

interface interface-type interface-number

-

(可选)配置安全地址的老化方式为无流量老化

port-security mac-address aging-type inactivity

缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化

(可选)将Sticky MAC地址设置为动态类型的安全MAC地址

port-security mac-address dynamic

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失

 

1.9  配置指定VLAN内端口安全功能允许同时接入的最大MAC地址数

1. 功能简介

通常情况下,端口上端口安全功能允许接入的MAC地址包括:

·     端口上MAC地址认证成功用户的MAC地址,MAC地址认证Guest VLAN、Critical VLAN中用户的MAC地址;MAC地址认证Critical微分段中的用户的MAC地址,MAC地址认证Guest VSI和Critical VSI中的用户的MAC地址。

·     802.1X认证成功用户的MAC地址、802.1X认证Guest VLAN、Auth-Fail VLAN、Critical VLAN中用户的MAC地址;802.1X认证Guest VSI、Auth-Fail VSI、Critical VSI中用户的MAC地址。

·     Web认证成功用户的MAC地址;Web认证Auth-Fail VLAN中用户的MAC地址。

由于系统资源有限,如果当前端口上允许接入的MAC地址数过多,接入MAC地址之间会发生资源的争用,因此适当地配置端口安全功能允许同时接入的最大MAC地址数可以使属于当前端口的用户获得可靠的性能保障。当指定VLAN内,端口允许接入的MAC地址数超过最大值后,该VLAN内新接入的MAC地址将被拒绝。

2. 配置限制和指导

配置的端口上指定VLAN内端口安全功能允许同时接入的最大MAC地址数,不能小于当前端口上相应VLAN已存在的MAC地址数;否则,本次配置不生效。

3. 配置步骤

表1-10 配置指定VLAN内端口安全功能允许同时接入的最大MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置指定VLAN内端口安全功能允许同时接入的最大MAC地址数

port-security mac-limit max-number per-vlan vlan-id-list

缺省情况下,端口上端口安全功能允许同时接入的最大MAC地址数为2147483647

 

1.10  配置M-LAG接口上用户认证的负载分担模式

1. 功能简介

为保证所有M-LAG接口上送的用户报文都有M-LAG设备处理,且同一用户的报文同时只在一台M-LAG设备上处理,可以按如下方式配置两台M-LAG设备上的用户认证的负载分担模式:

·     两台M-LAG设备都配置集中处理模式。

·     两台M-LAG设备都配置分布处理模式且分布规则为local

·     两台M-LAG设备都配置分布处理模式且其中一台M-LAG设备配置分布规则为odd-mac,另一台M-LAG设备配置分布规则为even-mac

2. 配置限制和指导

·     本命令仅对802.1X、MAC地址认证和Web认证用户生效。

·     M-LAG场景下,两台M-LAG设备通过交换各自的配置信息,检查配置是否冲突,检查过程不影响M-LAG设备转发报文。若配置冲突,将不允许新用户上线。

·     为防止配置冲突导致用户下线,请勿在端口安全、802.1X、MAC地址认证或Web认证使能的情况下,修改M-LAG接口上用户认证的负载分担模式配置。

·     当指定M-LAG接口上用户认证的负载分担模式为local时,必须保证与M-LAG接口相连的接入设备上配置的聚合负载分担类型为按报文的目的IP地址进行聚合负载分担、按报文的目的MAC地址进行聚合负载分担、按报文的源IP地址进行聚合负载分担或按报文的源MAC地址进行聚合负载分担,否则会导致用户数据处理异常。

·     对于802.1X认证场景,还必须保证与M-LAG接口相连的接入设备上配置缺省聚合负载分担时忽略除报文的源MAC地址之外的其它字段。

·     集中处理模式下,如果M-LAG接口单边接入,即当前M-LAG系统中仅一台M-LAG设备配置了M-LAG接口且由该M-LAG接口转发流量,则端口安全不允许用户从该M-LAG口上线。因此,在M-LAG接口单边接入的情况下,为了保证用户能够正常上线,请不要配置集中处理模式。

关于M-LAG的详细介绍请参见“二层技术-以太网交换配置指导”中的“M-LAG”,关于聚合负载分担的详细介绍请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”

3. 配置步骤

表1-11 配置M-LAG接口上用户认证的负载分担模式

操作

命令

说明

进入系统视图

system-view

-

配置M-LAG接口上用户认证的负载分担模式

port-security m-lag load-sharing-mode { centralized | distributed { even-mac | local | odd-mac } }

缺省情况下,M-LAG接口上用户认证的负载分担模式为集中处理模式

 

1.11  配置当前端口不应用下发的授权信息

802.1X用户或MAC地址认证用户通过本地认证或RADIUS认证时,本地设备或远程RADIUS服务器会把授权信息下发给用户。通过此配置可实现端口是否忽略这类下发的授权信息。

表1-12 配置当前端口不应用下发的授权信息

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置当前端口不应用RADIUS服务器或设备本地下发的授权信息

port-security authorization ignore

缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息

 

1.12  配置允许MAC迁移功能

允许MAC迁移功能是指,允许在线的802.1X用户、MAC地址认证用户或Web认证用户迁移到设备的其它端口上或迁移到同一端口下的其它VLAN接入后可以重新认证上线。

对于迁移到设备其它端口接入的用户,缺省情况下,如果用户从某一端口上线成功,则该用户在未从当前端口下线的情况下无法在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证,也无法上线。若开启了允许MAC地址迁移功能,则允许在线用户离开当前端口在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证。如果该用户在后接入的端口上认证成功,则当前端口会将该用户立即进行下线处理,保证该用户仅在一个端口上处于上线状态。

对于Trunk和Hybrid端口下的用户,在用户报文携带VLAN Tag时可以迁移到同一端口下的其它VLAN内接入。缺省情况下,如果用户从端口下的某个VLAN上线成功,则当该用户迁移到同一端口下的其它VLAN内发起认证,用户认证失败。若开启了允许MAC地址迁移功能,则用户在新VLAN可以认证成功,并且端口会对迁移前的在线用户立即进行下线处理,保证该用户仅在一个VLAN上处于上线状态。

缺省情况下,端口开启MAC VLAN功能后,若用户上线成功并授权了VLAN,则当用户通过MAC迁移方式在其它端口上线时,用户发送的802.1X、MAC地址认证或Web认证报文中会携带初始认证端口授权的VLAN信息。此时新端口会对用户认证的报文中携带的VLAN信息进行检查,如果用户所在VLAN不在新端口允许通过的VLAN范围内,则不允许用户进行MAC迁移。为了避免这种情况的发生,可以开启允许MAC迁移不检查VLAN功能。

配置允许MAC迁移功能,需要注意的是:

·     通常,不建议开启该功能,只有在用户漫游迁移需求的情况下建议开启此功能。

·     如果用户进行MAC地址迁移前,服务器在线用户数已达到上限,则用户MAC地址迁移不成功。

·     对于迁移到同一端口下的其它VLAN内接入的用户,MAC地址认证的多VLAN模式优先级高于MAC迁移功能。当开启端口的多VLAN模式(通过mac-authentication host-mode multi-vlan命令,详细配置请参见“安全配置指导”中的“MAC地址认证”)后,设备直接允许用户在新的VLAN通过,无需再次认证。

·     对于迁移到其它端口上接入的用户,如果设备允许MAC迁移,且用户上线的端口配置了MAC VLAN功能,则建议在MAC迁移的目的端口开启允许MAC迁移不检查VLAN功能。

·     当在Trunk类型端口下开启MAC迁移时不检查VLAN功能,并对用户进行802.1X认证时,需要配置端口发送802.1X协议报文不携带VLAN Tag功能,详细介绍请参见“安全配置指导”中的“802.1X”。

表1-13 配置允许MAC迁移功能

操作

命令

说明

进入系统视图

system-view

-

开启允许MAC迁移功能

port-security mac-move permit [ port | vlan ]

缺省情况下,允许MAC迁移功能处于关闭状态

开启允许MAC迁移不检查VLAN功能

port-security mac-move bypass-vlan-check

缺省情况下,允许MAC迁移不检查VLAN功能处于关闭状态

 

1.13  配置允许MAC迁移同步的远端MAC表项覆盖本端的原MAC表项

1. 功能简介

EVPN或M-LAG等组网环境中,当端口安全认证用户在本端设备下线后从远端设备重新认证上线时,如果本端设备上的用户认证MAC表项未老化,则此时通过隧道或peer-link链路从远端设备同步过来的同一认证用户的MAC表项无法覆盖原认证MAC表项,导致本端设备上保存的认证用户的MAC表项异常(MAC地址表记录的接口与实际上线接口不符),无法正常转发用户报文。

配置本功能后,认证MAC从本端设备迁移到远端设备后,远端同步过来的认证MAC表项将能够覆盖本端设备上未老化的原认证MAC表项,从而保证认证用户的报文收发正常。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项。

port-security mac-move overwrite-local

缺省情况下,MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项。

表1-14 配置许MAC迁移同步的远端MAC表项覆盖本端的原MAC表项

操作

命令

说明

进入系统视图

system-view

-

配置MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项

port-security mac-move overwrite-local

缺省情况下,MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项

 

1.14  配置授权失败用户下线功能

1. 功能简介

接口上开启授权失败用户下线功能后,当服务器下发的授权信息(目前仅支持ACL、CAR、User Profile)在设备上不存在或者设备下发授权信息失败时,设备将强制用户下线。该功能用于配合服务器上的用户授权控制策略,它仅允许接口上成功下发了授权信息的用户在线。

对于授权VLAN失败的情况,设备会直接让用户下线,与此功能无关。

开启本功能时:

·     若不指定任何参数,用户下线之后,设备再次收到该用户的报文就对其进行认证处理。

·     若指定quiet-period参数,则表示开启用户授权失败下线静默功能。用户下线后,设备将其加入对应认证类型的静默队列,并根据对应认证类型的静默定时器的值来确定用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃;静默期后,设备再次收到该用户的报文,则对其进行认证处理。

2. 配置准备

若开启本功能时指定了quiet-period参数则需要先完成如下配置:

·     对于802.1X用户,通过dot1x quiet-period命令开启802.1X认证静默定时器功能,并通过dot1x timer quiet-period令设置静默定时器的值。

·     对于MAC地址认证用户,通过mac-authentication timer quiet命令配置MAC地址认证静默定时器的值。

3. 配置步骤

表1-15 配置授权失败用户下线功能

操作

命令

说明

进入系统视图

system-view

-

开启授权失败用户下线功能

port-security authorization-fail offline [ quiet-period ]

缺省情况下,授权失败用户下线功能处于关闭状态,即授权失败后用户保持在线

 

1.15  配置开放认证模式

1.15.1  功能简介

开启开放认证模式后,端口上的802.1X、MAC地址认证用户在接入时即使接入信息不正确(包含不存在的用户名或者错误的密码两种情况)也可以正常接入并访问网络。在这种模式下接入的用户被称为open用户,此类用户不授权,不计费,但可通过display dot1x connection opendisplay mac-authentication connection open命令可以查看用户信息。当开启端口安全的开放认证模式后,不影响接入信息正确的用户正常上线,此类不属于open用户。

1.15.2  配置限制和指导

·     开启了全局端口安全的开放认证模式后,开放认证模式在所有端口生效;未开启全局端口安全开放认证模式时,开放认证模式以端口上配置为准。

·     开放认证模式优先级低于802.1X的Auth-Fail VLAN和MAC地址认证的Guest VLAN,即如果端口上配置了802.1X的Auth-Fail VLAN或MAC地址认证的Guest VLAN,密码错误的接入用户会加入认证失败VLAN,开放认证模式不生效。有关802.1X、MAC地址认证的详细介绍,请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。

·     开放认证模式优先级低于802.1X的Auth-Fail VSI和MAC地址认证的Guest VSI,即如果端口上配置了802.1X的Auth-Fail VSI或MAC地址认证的Guest VSI,密码错误的接入用户会加入认证失败VSI,开放认证模式不生效。有关802.1X、MAC地址认证的详细介绍,请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。

1.15.3  配置步骤

表1-16 配置开放认证模式

操作

命令

说明

进入系统视图

system-view

-

配置全局开放认证模式

port-security authentication open global

缺省情况下,全局端口安全的开放认证模式处于关闭状态

进入接口视图

interface interface-type interface-number

-

配置端口开放认证模式

port-security authentication open

缺省情况下,接口端口安全的开放认证模式处于关闭状态

 

1.16  配置端口安全的Free VLAN功能

开启802.1X认证、MAC地址认证或端口安全功能并配置了端口安全模式为userLogin、userLoginSecure、userLoginWithOUI、userLoginSecureExt、macAddressWithRadius、macAddressOrUserLoginSecure、macAddressElseUserLoginSecure、macAddressOrUserLoginSecureExt或macAddressElseUserLoginSecureExt时,若配置了端口安全的Free VLAN功能,则Free VLAN内的流量不需要进行认证,设备直接转发。

需要注意的是,请不要同时配置端口安全的Free VLAN功能和MAC地址认证请求中携带用户IP地址功能,关于MAC地址认证请求中携带用户IP地址功能的详细介绍,请参见“安全配置指导”中的“MAC地址认证”。

表1-17 配置端口安全的Free VLAN

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口安全的Free VLAN

port-security free-vlan vlan-id-list

缺省情况下,未配置端口安全的Free VLAN

 

1.17  配置NAS-ID Profile

用户的接入VLAN可标识用户的接入位置,而在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置,因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器。

NAS-ID Profile可以在系统视图下或者接口视图下进行配置,接口上的配置优先,若接口上没有配置,则使用系统视图下的全局配置。

如果指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。

表1-18 配置NAS-ID Profile(系统视图下)

操作

命令

说明

进入系统视图

system-view

 

创建NAS-ID Profile,并进入NAS-ID-Profile视图

aaa nas-id profile profile-name

该命令的具体情况请参见“安全命令参考”中的“AAA”

设置NAS-ID与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

该命令的具体情况请参见“安全命令参考”中的“AAA”

退回系统视图

quit

-

指定引用的NAS-ID Profile

port-security nas-id-profile profile-name

缺省情况下,未指定引用的NAS-ID Profile

 

表1-19 配置NAS-ID Profile(接口视图下)

操作

命令

说明

进入系统视图

system-view

 

创建NAS-ID Profile,并进入NAS-ID-Profile视图

aaa nas-id profile profile-name

该命令的具体情况请参见“安全命令参考”中的“AAA”

设置NAS-ID与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

该命令的具体情况请参见“安全命令参考”中的“AAA”

退回系统视图

quit

-

进入接口视图

interface interface-type interface-number

-

指定引用的NAS-ID Profile

port-security nas-id-profile profile-name

缺省情况下,未指定引用的NAS-ID Profile

 

1.18  配置端口安全逃生到Critical VSI

在VXLAN网络中,当802.1X或MAC地址认证接入用户采用RADIUS远程认证/授权方式,且RADIUS服务器异常(服务器可达但认证/授权失败)时,可开启端口安全逃生到Critical VSI功能。

开启了端口安全逃生到Critical VSI功能,且配置了MAC地址认证的强制端口上授权了重定向URL的MAC地址认证用户下线功能(通过mac-authentication critical vsi critical-vsi-name url-user-logoff命令,详细配置请参见“安全配置指导”中的“MAC地址认证”)后,首先端口上被授权了重定向URL的MAC地址认证用户将被强制下线;之后设备的对应端口如果收到源MAC地址未知的报文或802.1X认证请求报文,会根据用户的接入端口、所属VLAN和MAC地址信息动态创建以太网服务实例,并将该以太网服务实例与802.1X Critical VSI或MAC地址认证Critical VSI相关联;此后,通过该端口接入的、指定VLAN和MAC地址的用户无需认证,直接被授权访问Critical VSI对应的VXLAN中的网络资源,这种情况下Critical VSI也称为逃生VSI。

在开启端口安全逃生到Critical VSI之前,需要先配置802.1X Critical VSI或MAC地址认证Critical VSI,否则逃生无法生效,802.1X用户或MAC地址认证用户不能访问任何VXLAN中的资源。关于802.1X Critical VSI和MAC地址认证Critical VSI的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。

配置端口安全逃生到Critical VSI,需要注意的是:

·     配置端口安全逃生到Critical VSI时,请保证设备端口上没有Web认证、802.1X Guest VLAN、Auth-Fail VLAN、Critical VLAN或MAC地址认证的Guest VLAN、Critical VLAN的配置,否则该端口的逃生功能无法正常使用。

·     配置端口逃生到Critical VSI后,如下802.1X或MAC地址认证用户不支持逃生:

¡     802.1X客户端采用的认证类型(EAP中继或EAP终结)与设备配置不一致;

¡     开启了802.1X认证的MAC地址绑定功能的端口上,用户的MAC地址不在MAC地址绑定表项中;

¡     用户MAC地址为全0、全F(广播MAC)和组播MAC。

·     端口安全逃生到Critical VSI支持全局配置和端口配置,全局配置在设备的所有端口上生效,端口配置则只对指定端口生效。

·     删除全局和端口上的逃生VSI后,通过该端口接入的逃生用户将会被删除,用户再上线时为正常的认证流程。

表1-20 配置端口安全逃生到Critical VSI

操作

命令

说明

进入系统视图

system-view

-

开启全局端口安全逃生到Critical VSI

port-security global escape critical-vsi

缺省情况下,全局端口安全逃生到Critical VSI处于关闭状态

进入接口视图

interface interface-type interface-number

-

开启端口安全逃生到Critical VSI

port-security escape critical-vsi

缺省情况下,端口安全逃生到Critical VSI功能处于关闭状态

 

1.19  配置端口安全接入用户流量统计功能

1. 功能简介

端口安全接入用户流量统计功能是指对在线的802.1X和MAC地址认证用户的流量进行统计的功能。开启本功能后,设备会对802.1X和MAC地址认证用户进行流量统计,并将统计的流量信息发送给计费服务器。未开启本功能时,设备只对802.1X和MAC地址认证用户的在线时长进行统计。如果需要对接入用户的流量进行计费,可以开启本功能。

本功能对所有采用802.1X或MAC地址认证机制的接口生效,该接口上可以单独开启802.1X或MAC地址认证,也可以使能端口安全并指定相应的认证模式。

当配置了MAC地址认证或者配置了端口接入控制方式为MAC-based的802.1X认证时,设备基于用户MAC地址统计流量;当配置了端口接入控制方式为Port-based的802.1X认证时,设备基于用户接入端口统计流量。

2. 配置限制和指导

本功能与MAC地址认证支持VSI下发功能、802.1X支持VSI下发功能互斥。配置本功能前,请确保设备上未配置MAC地址认证支持VSI下发功能或802.1X支持VSI下发功能。

本功能仅对新上线的802.1X和MAC地址认证用户生效,对开启前已在线的802.1X和MAC地址认证用户不生效。

统计802.1X和MAC地址认证用户流量时,需要占用设备的ACL资源。当在线的802.1X和MAC地址认证用户数量较多的情况下,开启该功能会占用设备大量ACL资源,可能导致新认证的802.1X和MAC地址认证用户上线不成功。因此当没有通过用户流量进行计费的需求时,建议关闭此功能。

有关802.1X、MAC地址认证的详细介绍,请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。

3. 配置步骤

表1-21 配置端口安全接入用户流量统计

操作

命令

说明

进入系统视图

system-view

-

开启端口安全用户流量统计功能

port-security traffic-statistics enable

缺省情况下,端口安全用户流量统计功能处于关闭状态

 

1.20  配置端口安全告警功能

开启端口安全模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。

表1-22 配置Trap特性

操作

命令

说明

进入系统视图

system-view

-

打开指定告警信息的开关

snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *

缺省情况下,所有告警信息的开关处于关闭状态

 

1.21  配置端口的认证顺序

1. 功能简介

本功能仅在Triple认证环境中生效。Triple认证允许在接入用户的二层端口上同时开启Web认证、MAC地址认证和802.1X认证功能,不同类型的终端报文可触发不同的认证过程,具体介绍请参加“安全配置指导”中的“Triple配置”。配置本功能后,任意终端报文,都将先触发MAC地址认证。

端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦终端通过某一种认证,其它认证过程的进行情况有所不同:

·     如果终端通过MAC地址认证仍可以进行802.1X认证,但不会再进行Web认证。如果802.1X认证成功,则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。否则,用户依然保持MAC地址认证在线,且允许再次触发802.1X认证,但不能再次触发Web认证。

·     如果MAC地址认证失败,终端通过了802.1X认证或者Web认证,则端口上其他认证会立即终止,且不能被再次触发。

配置本功能后,将导致正在认证的用户认证失败,用户需要重新触发认证才能上线。为了避免造成认证用户无法上线,请勿随意配置本功能修改认证方式顺序。

2. 配置步骤

表1-23 配置端口的认证顺序

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

 

配置端口的认证顺序为MAC地址认证、802.1X认证和Web认证

port-security triple-auth-order mac-dot1x-web

缺省情况下,Triple认证环境中,不同类型的终端报文最先触发的认证方式不同

 

1.22  配置端口安全用户的认证前域

1. 功能简介

认证前域是指,802.1X用户、MAC地址认证以及Web地址用户进入认证流程前所处的ISP域。认证前域应用场景包括:

·     首次接入网络(仅适用于802.1X、Web认证用户);

·     认证失败且未配置认证失败域;

·     服务器不可达但未配置逃生域。

接口上配置了认证前域时,在此接口上接入的认证用户将被授予指定认证前域内配置的相关授权属性(目前包括ACL、VLAN、VSI和微分段),并根据授权信息获得相应的网络访问权限。若此用户后续认证成功,则会被AAA下发新的授权信息。

2. 配置限制和指导

如果当前认证前域中的ACL、VLAN、VSI和微分段授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。

端口安全认证前域功能与其它认证模块的逃生功能互斥:

·     端口安全认证前域功能与802.1X认证的Guest VLAN、Guest VSI、Auth-fail VLAN、Auth-fail VSI、Critical VLAN、Critical VSI、Critical微分段以及逃生策略模板互斥。

·     端口安全认证前域功能与MAC地址认证的Guest VLAN、Guest VSI、Critical VLAN、Critical VSI、Critical微分段以及逃生策略模板互斥。

·     端口安全认证前域功能与Web认证的Auth-fail VLAN互斥。

3. 配置步骤

表1-24 配置端口安全用户的认证前域

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

 

配置端口安全用户的认证前域

port-security pre-auth domain isp-name

缺省情况下,未配置端口安全用户的认证前域

 

1.23  配置端口安全用户重定向URL不可达时的逃生域

1. 功能简介

在用户认证过程中,当重定向URL指定的Web服务器不可达时,用户将无法到达指定的Web认证页面,从而无法正常上线。配置URL不可达逃生域后,在重定向URL不可达时,用户可以在逃生域中上线,并访问其中的资源。

2. 配置限制和指导

本特性仅适用于MAC地址认证和Web认证用户。

本功能与802.1X、MAC地址认证和Web认证模块的Guest VLAN/VSI、Auth-fail VLAN/VSI、Critical VLAN/VSI/微分段以及逃生策略模板功能互斥。

3. 配置步骤

表1-25 配置端口安全用户重定向URL不可达时的逃生域

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

 

配置端口安全用户重定向URL不可达时的逃生域

port-security url-unavailable domain isp-name

缺省情况下,未指定端口安全用户认证过程中重定向URL不可达时的逃生域

 

1.24  配置端口接入认证的静态用户

1.24.1  配置端口接入认证的静态用户

1. 功能简介

在网络环境中,对于打印机等哑终端,管理员一般为其分配静态IP地址。对于这类用户,为了更加灵活地进行认证,我们可以将其配置为静态用户。配置为静态用户后,只要在静态用户所连接的接口上使能了802.1X认证、MAC地址认证以及Web认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。

对于不同静态用户的上线处理原则:

·     当IP地址不同,MAC地址也不同时,认为是不同静态用户,都可以正常认证上线;

·     当MAC相同时,无论IP地址是否相同,已有该MAC用户在线时不会再触发认证,IP地址变化时设备可以通过port-security static-user update-ip enable命令更新静态用户的IP地址

·     当IP地址相同,MAC不同时:

¡     如果该IP地址绑定了MAC地址,则以绑定的MAC地址上线,其余MAC地址不会再进行认证;

¡     如果该IP地址没有绑定MAC地址,只要IP地址属于配置的静态用户的IP地址,接口都将允许所有不同MAC地址的用户通过认证上线。

2. 配置限制和指导

本命令只对未上线的静态用户生效,删改配置不会影响在线静态用户的状态。

公网或同一私网下,配置静态用户的IP地址范围不能相互重叠。

当静态用户使用的用户名为IP或MAC地址时,设备上不能开启MAC地址认证自动恢复功能,否则当设备重启或故障恢复时,静态用户会被当作MAC地址认证用户恢复上线。MAC地址认证自动恢复功能的详细介绍请参见“安全配置指导”中的“MAC地址认证”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置端口接入认证的静态用户。

port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain isp-name | [ interface interface-type interface-number [ detect ] ] vlan vlan-id | mac mac-address | keep-online ] *

缺省情况下,未配置端口接入认证的静态用户。

(3)     (可选)配置静态用户上线时使用的用户名形式。

port-security static-user user-name-format { ip-address | mac-address | system-name }

缺省情况下,静态用户的用户名为接入设备名称Sysname和用户IP地址的结合,格式为SysnameIP。

(4)     (可选)静态用户用户名为MAC地址时的账号格式。

port-security static-user user-name-format mac-address { one-section | { six-section | three-section } delimiter { colon | hyphen } } [ uppercase ] [ password-with-mac ]

缺省情况下,静态用户的用户名为接入设备名称Sysname和用户IP地址的结合,格式为SysnameIP。

(5)     (可选)配置静态用户密码。

port-security static-user password { cipher | simple } string

缺省情况下,未配置静态用户密码。

(6)     (可选)配置静态用户下线检测定时器的值。

port-security static-user timer offline-detect time-value

缺省情况下,静态用户下线检测定时器的值为5分钟。

(7)     (可选)配置设备主动发送ARP报文触发静态用户认证的周期。

port-security static-user timer detect-period time-value

缺省情况下,设备主动发送ARP报文触发静态用户认证的周期为3分钟。

表1-26 配置端口安全用户的认证前域

操作

命令

说明

进入系统视图

system-view

-

配置端口接入认证的静态用户

port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain isp-name | [ interface interface-type interface-number [ detect ] ] vlan vlan-id | mac mac-address | keep-online ] *

缺省情况下,未配置端口接入认证的静态用户

 

(可选)配置静态用户上线时使用的用户名形式

port-security static-user user-name-format { ip-address | mac-address | system-name }

缺省情况下,静态用户的用户名为接入设备名称Sysname和用户IP地址的结合,格式为SysnameIP

(可选)静态用户用户名为MAC地址时的账号格式

port-security static-user user-name-format mac-address { one-section | { six-section | three-section } delimiter { colon | hyphen } } [ uppercase ] [ password-with-mac ]

缺省情况下,静态用户的用户名为接入设备名称Sysname和用户IP地址的结合,格式为SysnameIP

(可选)配置静态用户密码

port-security static-user password { cipher | simple } string

缺省情况下,未配置静态用户密码

(可选)配置静态用户下线检测定时器的值

port-security static-user timer offline-detect time-value

缺省情况下,静态用户下线检测定时器的值为5分钟

(可选)配置设备主动发送ARP报文触发静态用户认证的周期

port-security static-user timer detect-period time-value

缺省情况下,设备主动发送ARP报文触发静态用户认证的周期为3分钟

 

1.24.2  配置允许设备更新静态用户的IP地址

1. 功能简介

通过port-security static-user命令配置静态用户的IP地址范围后,IP地址处于此范围内的终端将作为静态用户进行认证。终端作为静态用户在线后,某些终端可能会向接入认证设备发送异常的ARP报文,这类异常ARP报文的源地址不是静态用户的IP地址,触发设备更新终端的IP地址,更新地址后终端不再是静态用户,导致终端下线。

缺省情况下,当收到异常ARP报文时,若源地址非静态用户的IP地址,设备不会更新静态用户的IP地址,避免导致在线静态用户下线。当想要跟踪终端IP地址的变化情况时,可以选择开启本功能,允许设备更新静态用户的IP地址。

2. 配置限制和指导

本功能需要配合DHCP Snooping、ARP Snooping、DHCPv6 Snooping或ND Snooping功能使用,只有使能相应的Snooping功能,才能收到该Snooping模块通知的IP地址的变化情况。

3. 配置步骤

表1-27 配置允许设备更新静态用户的IP地址

操作

命令

说明

进入系统视图

system-view

-

配置允许设备更新静态用户的IP地址

port-security static-user update-ip enable

缺省情况下,不允许设备更新静态用户的IP地址

 

1.24.3  配置端口上最多允许同时接入的静态用户数

1. 功能简介

由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的静态用户数达到最大值后,新接入的静态用户将被拒绝通过此端口上线。

2. 配置步骤

表1-28 配置端口上最多允许同时接入的静态用户数

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

 

配置端口上最多允许同时接入的静态用户数

port-security static-user max-user max-number

缺省情况下,端口上最多允许同时接入的静态用户数为4294967295

 

1.24.4  配置静态用户MAC地址的匹配规则

配置静态用户的IP地址范围后,匹配上静态用户IP的终端能作为静态用户认证上线,但在实际使用中存在以下问题:

·     终端发送的第一个报文不可控,当终端首先发送的是不携带IP地址的二层报文时,终端无法匹配上静态用户的IP,反而会先触发MAC地址认证。

·     当用户终端支持IPv4和IPv6双栈协议时,如果仅配置了静态用户的IPv4地址,但终端首先发送的是IPv6报文,则同样会先触发MAC地址认证。

为了解决如上问题,可以选择将MAC地址作为静态用户的匹配条件。

配置本功能后,MAC地址匹配上指定ACL规则的用户将只允许作为静态用户认证上线,不允许触发其它方式的认证。

本功能中指定的ACL必须是二层ACL,且只能配置指定源MAC地址范围的permit类型的规则。

表1-29 配置静态用户MAC地址的匹配规则

操作

命令

说明

进入系统视图

system-view

-

配置静态用户MAC地址的匹配规则

port-security static-user match-mac acl acl-number

缺省情况下,未配置静态用户MAC地址的匹配规则

 

1.25  配置端口非认证成功在线用户定时器

1. 功能简介

端口安全支持配置两种类型的非认证成功在线用户定时器:

·     周期性重认证定时器:设备以此间隔为周期对处于指定域内的802.1X认证、MAC地址认证或Web认证在线用户发起重认证。

·     用户老化定时器:到达配置的老化时间后,802.1X认证、MAC地址认证或Web认证在线用户将离开指定的域。

2. 配置步骤

表1-30 配置端口非认证成功在线用户定时器

操作

命令

说明

进入系统视图

system-view

-

配置端口非认证成功在线用户定时器的值

port-security timer { reauth-period { auth-fail-domain | preauth-domain } | user-aging { auth-fail-domain | critical-domain | preauth-domain } } time-value

缺省情况下,周期性重认证定时器的值为600秒,用户老化定时器的值为23小时

 

1.26  配置允许用户在隔离组的成员端口间免认证迁移

1. 功能简介

应用场景

网络拓扑改变时,STP(Spanning Tree Protocol,生成树协议)模块会发送TC(Topology Change,拓扑改变)事件报文通知相关设备网络拓扑发生变化。

开启本功能后,当TC隔离组内的网络拓扑改变,导致成员端口上的在线用户流量转发异常时,设备可以根据报文探测结果或TC隔离组成员端口状态迁移用户,避免某些用户无法主动发送用户报文触发迁移,同时通过免认证实现迁移用户的快速重新上线。

工作机制

本功能实现过程如下:

·     当隔离组的某成员端口处于UP状态且收到TC事件报文后,设备将查询从该端口上线的认证用户,并通过隔离组的另一个成员端口每隔一个探测周期通过另一个成员端口向该成员端口上的在线用户发送ARP/NS探测报文:

¡     如果另一个成员端口收到了用户的回应报文,则该用户将跳过认证流程,直接迁移到另一个成员端口上线。

¡     如果另一个成员端口在探测达到最大次数时仍未收到回应报文,则设备认为本隔离组所在网络拓扑不变,不迁移用户。

·     当由于隔离组的某成员端口DOWN导致网络拓扑改变时,设备不会等收到STP模块发送的TC事件报文,也不会主动从另一个成员端口探测用户,会立即将用户从该成员端口免认证迁移到另一个成员端口。迁移后,可通过在新端口上开启下线检测或ARP/NS报文探测功能判断用户是否能正常上线。

关于TC隔离组的详细介绍,请参见“二层技术-以太网交换配置指导”中的“生成树”。

本功能仅对静态用户、MAC地址认证用户和802.1X用户生效。

建议隔离组两个成员端口上的所有配置保持一致,否则可能导致用户迁移失败。

表1-31 配置允许用户在隔离组的成员端口间免认证迁移

操作

命令

说明

进入系统视图

system-view

-

配置允许用户在隔离组的成员端口间免认证迁移

port-security topology-change free-mac-move

缺省情况下,网络拓扑改变时,不允许用户在隔离组的成员端口间免认证迁移

配置网络拓扑改变时,设备主动发送ARP/NS探测报文的周期

port-security topology-change detect-period time-value

缺省情况下,网络拓扑改变时,设备主动发送ARP/NS探测报文的周期为5秒

配置网络拓扑改变时,设备主动发送ARP/NS探测报文的最大次数

port-security topology-change detect-retry retries

缺省情况下,当网络拓扑改变时,设备发送探测报文的最大次数为3

 

1.27  配置端口安全接入用户日志信息功能

1. 功能简介

端口安全接入用户日志信息是为了满足网络管理员维护的需要,对用户的接入信息进行记录。设备生成的端口安全日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

为了防止设备输出过多的端口安全接入用户日志信息,一般情况下建议关闭此功能。

3. 配置步骤

表1-32 配置端口安全接入用户日志信息功能

操作

命令

说明

进入系统视图

system-view

-

开启端口安全接入用户日志信息功能

port-security access-user log enable [ failed-authorization | mac-learning | violation | vlan-mac-limit ] *

缺省情况下,端口安全接入用户日志信息功能处于关闭状态

配置本命令时,如果未指定任何参数,将同时开启所有参数对应的日志功能

 

1.28  端口安全显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后端口安全的运行情况,通过查看显示信息验证配置的效果。

表1-33 端口安全显示和维护

操作

命令

显示端口安全的配置信息、运行情况和统计信息

display port-security [ interface interface-type interface-number ]

显示端口接入在线用户的表项信息

(独立运行模式)

display port-security access-user [ m-lag [ local | peer ] ] [ access-type { dot1x | mac-auth | web-auth | static } | domain domain-name | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | slot slot-number ] *

显示端口接入在线用户的表项信息

(IRF模式)

display port-security access-user [ m-lag [ local | peer ] ] [ access-type { dot1x | mac-auth | web-auth | static } | chassis chassis-number slot slot-number | domain domain-name | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success } ] *

显示安全MAC地址信息

display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

显示阻塞MAC地址信息

display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

显示端口安全从M-LAG对端同步过来的MAC地址表项信息

display port-security mac-address m-lag sync-from-peer [ user-mac mac-address ]

显示端口安全M-LAG本端设备同步到对端的MAC地址表项信息

display port-security mac-address m-lag sync-to-peer [ interface interface-type interface-number | user-mac mac-address ]

显示静态用户的配置信息

display port-security static-user

显示在线静态用户的信息

(独立运行模式)

display port-security static-user connection [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | slot slot-number | user-name user-name ] | { ip | ipv6 } ip-address | mac mac-address ]

显示在线静态用户的信息

(IRF模式)

display port-security static-user connection [ [ m-lag [ local | peer ] ] [ chassis chassis-number slot slot-number | interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | user-name user-name ] | { ip | ipv6 } ip-address | mac mac-address ]

显示端口安全的统计计数信息

(独立运行模式)

display port-security statistics [ slot slot-number ]

显示端口安全的统计计数信息

(IRF模式)

display port-security statistics [ chassis chassis-number slot slot-number ]

强制在线静态用户下线

reset port-security static-user [ interface interface-type interface-number | { ip | ipv6 } ip-address | mac mac-address | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | user-name user-name ]

清除端口安全的统计计数信息

reset port-security statistics

 

1.29  端口安全典型配置举例

1.29.1  端口安全autoLearn模式配置举例

1. 组网需求

在Device的端口GigabitEthernet1/0/1上对接入用户做如下的限制:

·     允许64个用户自由接入,不进行认证,将学习到的用户MAC地址添加为Sticky MAC地址,老化时间为30分钟;

·     当安全MAC地址数量达到64后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。

2. 组网图

图1-2 端口安全autoLearn模式组网图

3. 配置步骤

# 使能端口安全。

<Device> system-view

[Device] port-security enable

# 设置安全MAC地址的老化时间为30分钟。

[Device] port-security timer autolearn aging 30

# 设置端口安全允许的最大安全MAC地址数为64。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port-security max-mac-count 64

# 设置端口安全模式为autoLearn。

[Device-GigabitEthernet1/0/1] port-security port-mode autolearn

# 设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。

[Device-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily

[Device-GigabitEthernet1/0/1] quit

[Device] port-security timer disableport 30

4. 验证配置

上述配置完成后,可以使用如下显示命令查看端口安全的配置情况。

[Device] display port-security interface gigabitethernet 1/0/1

Global port security parameters:

   Port security                           : Enabled

   M-LAG load sharing mode (criterion)     : Distributed (local)

   M-LAG member's authentication scope     : Local M-LAG interfaces

   M-LAG member configuration conflict     : Unknown

   AutoLearn aging time                    : 30 min

   Disableport timeout                     : 30 s

   Blockmac timeout                        : 180 s

   MAC move                                : Denied

   Authorization fail                      : Online

   NAS-ID profile                          : Not configured

   Dot1x-failure trap                      : Disabled

   Dot1x-logon trap                        : Disabled

   Dot1x-logoff trap                       : Disabled

   Intrusion trap                          : Disabled

   Address-learned trap                    : Disabled

   Mac-auth-failure trap                   : Disabled

   Mac-auth-logon trap                     : Disabled

   Mac-auth-logoff trap                    : Disabled

   Open authentication                     : Disabled

   Traffic-statistics                      : Disabled

   User aging period for preauth domain    : 82800 sec

   User aging period for Auth-Fail domain  : 82800 sec

   User aging period for critical domain   : 82800 sec

   Reauth period for preauth domain        : 600 sec

   Reauth period for Auth-Fail domain      : 600 sec

   MAC move for topology change protection : Denied

     Topology change detection period      : 5 sec

     Max detection attempts                : 3

   OUI value list                          :

    Index :  1           Value : 123401

 

 GigabitEthernet1/0/1 is link-up

   Port mode                               : autoLearn

   NeedToKnow mode                         : Disabled

   Intrusion protection mode               : DisablePortTemporarily

   Security MAC address attribute

       Learning mode                       : Sticky

       Aging type                          : Periodical

   Max secure MAC addresses                : 64

   Current secure MAC addresses            : 0

   Authorization                           : Permitted

   NAS-ID profile                          : Not configured

可以看到端口安全所允许的最大安全MAC地址数为64,端口模式为autoLearn,入侵检测保护动作为DisablePortTemporarily,入侵发生后端口被禁用时间为30秒。

配置生效后,端口允许地址学习,学习到的MAC地址数可在上述显示信息的“Current number of secure MAC addresses”字段查看到,具体的MAC地址信息可以在接口视图下用display this命令查看。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] display this

#

interface GigabitEthernet1/0/1

 port-security max-mac-count 64

 port-security port-mode autolearn

 port-security mac-address security sticky 0002-0000-0015 vlan 1

 port-security mac-address security sticky 0002-0000-0014 vlan 1

 port-security mac-address security sticky 0002-0000-0013 vlan 1

 port-security mac-address security sticky 0002-0000-0012 vlan 1

 port-security mac-address security sticky 0002-0000-0011 vlan 1

#

当学习到的MAC地址数达到64后,用命令display port-security interface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,可以通过命令display interface看到此端口关闭。30秒后,端口状态恢复。此时,如果手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。

1.29.2  端口安全userLoginWithOUI模式配置举例

1. 组网需求

客户端通过端口GigabitEthernet1/0/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。

·     IP地址为192.168.1.2的RADIUS服务器作为主认证服务器和从计费服务器,IP地址为192.168.1.3的RADIUS服务器作为从认证服务器和主计费服务器。认证共享密钥为name,计费共享密钥为money。

·     所有接入用户都使用ISP域sun的认证/授权/计费方法,该域最多可同时接入30个用户;

·     系统向RADIUS服务器重发报文的时间间隔为5秒,重发次数为5次,发送实时计费报文的时间间隔为15分钟,发送的用户名不带域名。

·     端口GigabitEthernet1/0/1同时允许一个802.1X用户以及一个与指定OUI值匹配的设备接入。

2. 组网图

图1-3 端口安全userLoginWithOUI模式组网图

3. 配置步骤

说明

·     下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全配置指导”中的“AAA”。

·     保证客户端和RADIUS服务器之间路由可达。

 

(1)     配置AAA

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme radsun

[Device-radius-radsun] primary authentication 192.168.1.2

[Device-radius-radsun] primary accounting 192.168.1.3

[Device-radius-radsun] secondary authentication 192.168.1.3

[Device-radius-radsun] secondary accounting 192.168.1.2

[Device-radius-radsun] key authentication simple name

[Device-radius-radsun] key accounting simple money

[Device-radius-radsun] timer response-timeout 5

[Device-radius-radsun] retry 5

[Device-radius-radsun] timer realtime-accounting 15

[Device-radius-radsun] user-name-format without-domain

[Device-radius-radsun] quit

# 配置ISP域。

[Device] domain sun

[Device-isp-sun] authentication lan-access radius-scheme radsun

[Device-isp-sun] authorization lan-access radius-scheme radsun

[Device-isp-sun] accounting lan-access radius-scheme radsun

[Device-isp-sun] quit

(2)     配置802.1X

# 配置802.1X的认证方式为CHAP。(该配置可选,缺省情况下802.1X的认证方式为CHAP)

[Device] dot1x authentication-method chap

# 指定端口上接入的802.1X用户使用强制认证域sun。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain sun

[Device-GigabitEthernet1/0/1] quit

(3)     配置端口安全

# 使能端口安全。

[Device] port-security enable

# 添加5个OUI值。(最多可添加16个,此处仅为示例。最终,端口仅允许一个与某OUI值匹配的用户通过认证)

[Device] port-security oui index 1 mac-address 1234-0100-1111

[Device] port-security oui index 2 mac-address 1234-0200-1111

[Device] port-security oui index 3 mac-address 1234-0300-1111

[Device] port-security oui index 4 mac-address 1234-0400-1111

[Device] port-security oui index 5 mac-address 1234-0500-1111

# 设置端口安全模式为userLoginWithOUI。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port-security port-mode userlogin-withoui

[Device-GigabitEthernet1/0/1] quit

4. 验证配置

# 查看端口安全的配置信息。

[Device] display port-security interface gigabitethernet 1/0/1

Global port security parameters:

   Port security                           : Enabled

   M-LAG load sharing mode (criterion)     : Distributed (local)

   M-LAG member's authentication scope     : Local M-LAG interfaces

   M-LAG member configuration conflict     : Unknown

   AutoLearn aging time                    : 30 min

   Disableport timeout                     : 30 s

   Blockmac timeout                        : 180 s

   MAC move                                : Denied

   Authorization fail                      : Online

   NAS-ID profile                          : Not configured

   Dot1x-failure trap                      : Disabled

   Dot1x-logon trap                        : Disabled

   Dot1x-logoff trap                       : Disabled

   Intrusion trap                          : Disabled

   Address-learned trap                    : Disabled

   Mac-auth-failure trap                   : Disabled

   Mac-auth-logon trap                     : Disabled

   Mac-auth-logoff trap                    : Disabled

   Open authentication                     : Disabled

   Traffic-statistics                      : Disabled

   User aging period for preauth domain    : 82800 sec

   User aging period for Auth-Fail domain  : 82800 sec

   User aging period for critical domain   : 82800 sec

   Reauth period for preauth domain        : 600 sec

   Reauth period for Auth-Fail domain      : 600 sec

   MAC move for topology change protection : Denied

     Topology change detection period      : 5 sec

     Max detection attempts                : 3

   OUI value list                          :

       Index :  1       Value : 123401

       Index :  2       Value : 123402

       Index :  3       Value : 123403

       Index :  4       Value : 123404

       Index :  5       Value : 123405

 

 GigabitEthernet1/0/1 is link-up

   Port mode                               : userLoginWithOUI

   NeedToKnow mode                         : Disabled

   Intrusion protection mode               : NoAction

Security MAC address attribute

       Learning mode                       : Sticky

       Aging type                          : Periodical

   Max secure MAC addresses                : Not configured

   Current secure MAC addresses            : 1

   Authorization                           :Permitted

   NAS-ID profile                          : Not configured

配置完成后,如果有802.1X用户上线,则可以通过上述显示信息看到当前端口保存的MAC地址数为1。还可以通过display dot1x命令查看该802.1X用户的在线情况。

此外,端口还允许一个MAC地址与OUI值匹配的用户通过,可以通过下述命令查看。

[Device] display mac-address interface gigabitethernet 1/0/1

MAC Address     VLAN ID   State          Port/Nickname            Aging

1234-0300-0011  1         Learned        GE1/0/1                  Y

1.29.3  端口安全macAddressElseUserLoginSecure模式配置举例

1. 组网需求

客户端通过端口GigabitEthernet1/0/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证。如果认证成功,客户端被授权允许访问Internet资源。

·     可以有多个MAC认证用户接入;

·     如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证。最多只允许一个802.1X用户接入;

·     MAC地址认证设置用户名格式为用户MAC地址的形式;

·     上线的MAC地址认证用户和802.1X认证用户总和不能超过64个;

·     为防止报文发往未知目的MAC地址,启动ntkonly方式的Need To Know特性。

2. 组网图

图1-4 端口安全macAddressElseUserLoginSecure模式组网图

3. 配置步骤

说明

·     RADIUS认证/计费及ISP域的配置同“1.29.2  端口安全userLoginWithOUI模式配置举例”,这里不再赘述。

·     保证接入用户和RADIUS服务器之间路由可达。

 

# 使能端口安全。

<Device> system-view

[Device] port-security enable

# 配置MAC认证的用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。

[Device] mac-authentication user-name-format mac-address with-hyphen uppercase

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain sun

# 配置802.1X的认证方式为CHAP。(该配置可选,缺省情况下802.1X的认证方式为CHAP)

[Device] dot1x authentication-method chap

# 设置端口安全允许的最大MAC地址数为64。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port-security max-mac-count 64

# 设置端口安全模式为macAddressElseUserLoginSecure。

[Device-GigabitEthernet1/0/1] port-security port-mode mac-else-userlogin-secure

# 指定端口上接入的802.1X用户使用强制认证域sun。

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain sun

[Device-GigabitEthernet1/0/1] quit

# 设置端口Need To Know模式为ntkonly。

[Device-GigabitEthernet1/0/1] port-security ntk-mode ntkonly

[Device-GigabitEthernet1/0/1] quit

4. 验证配置

# 查看端口安全的配置信息。

[Device] display port-security interface gigabitethernet 1/0/1

Global port security parameters:

   Port security                           : Enabled

   M-LAG load sharing mode (criterion)     : Distributed (local)

   M-LAG member's authentication scope     : Local M-LAG interfaces

   M-LAG member configuration conflict     : Unknown

   AutoLearn aging time                    : 30 min

   Disableport timeout                     : 30 s

   Blockmac timeout                        : 180 s

   MAC move                                : Denied

   Authorization fail                      : Online

   NAS-ID profile                          : Not configured

   Dot1x-failure trap                      : Disabled

   Dot1x-logon trap                        : Disabled

   Dot1x-logoff trap                       : Disabled

   Intrusion trap                          : Disabled

   Address-learned trap                    : Disabled

   Mac-auth-failure trap                   : Disabled

   Mac-auth-logon trap                     : Disabled

   Mac-auth-logoff trap                    : Disabled

   Open authentication                     : Disabled

   Traffic-statistics                      : Disabled

   User aging period for preauth domain    : 82800 sec

   User aging period for Auth-Fail domain  : 82800 sec

   User aging period for critical domain   : 82800 sec

   Reauth period for preauth domain        : 600 sec

   Reauth period for Auth-Fail domain      : 600 sec

   MAC move for topology change protection : Denied

     Topology change detection period      : 5 sec

     Max detection attempts                : 3

   OUI value list

 

 GigabitEthernet1/0/1 is link-up

   Port mode                               : macAddressElseUserLoginSecure

   NeedToKnow mode                         : NeedToKnowOnly

   Intrusion protection mode               : NoAction

   Security MAC address attribute

      Learning mode                        : Sticky

      Aging type                           : Periodical

   Max secure MAC addresses                : 64

   Current secure MAC addresses            : 0

   Authorization                           : Permitted

   NAS-ID profile                          : Not configured

配置完成后,如果有用户认证上线,则可以通过下述显示信息看到当前端口上的用户认证信息。

# 查看MAC地址认证信息。

[Device] display mac-authentication interface gigabitethernet 1/0/1

Global MAC authentication parameters:

   MAC authenticaiton                         : Enabled

   Authentication method                      : PAP

   M-LAG member configuration conflict        : Unknown

   User name format                           : MAC address in uppercase(XX-XX-XX-XX-XX-XX)

           Username                           : mac

           Password                           : Not configured

   MAC range accounts                         : 0

          MAC address          Mask                 Username

   Offline detect period                      : 300 s

   Quiet period                               : 180 s

   Server timeout                             : 100 s

   Reauth period                              : 3600 s

   User aging period for critical VLAN        : 1000 s

   User aging period for critical VSI         : 400 s

   User aging period for guest VLAN           : 1000 s

   User aging period for guest VSI            : 1000 s

   User aging period for critical microsegment: 1000 s

   Temporary user aging period                : 60 s

   Authentication domain                      : sun

   HTTP proxy port list                       : Not configured

   HTTPS proxy port list                      : Not configured

 Online MAC-auth wired users                  : 3

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

GigabitEthernet1/0/1 is link-up

   MAC authentication                      : Enabled

   Carry User-IP                           : Disabled

   Authentication domain                   : Not configured

   Auth-delay timer                        : Disabled

   Periodic reauth                         : Disabled

   Re-auth server-unreachable              : Logoff

   Guest VLAN                              : Not configured

   Guest VLAN auth-period                  : 30 s

   Critical VLAN                           : Not configured

   Critical voice VLAN                     : Disabled

   Host mode                               : Single VLAN

   Offline detection                       : Enabled

   Authentication order                    : Default

   User aging                              : Enabled

   Server-recovery online-user-sync        : Enabled

 

Max online users                        : 256

   Authentication attempts                 : successful 3, failed 7

   Current online users                    : 0

          MAC address       Auth state

          1234-0300-0011    Authenticated

          1234-0300-0012    Authenticated

          1234-0300-0013    Authenticated

# 查看802.1X认证信息。

[Device] display dot1x interface gigabitethernet 1/0/1

Global 802.1X parameters:

   802.1X authentication                      : Enabled

   M-LAG member configuration conflict        : Unknown

   CHAP authentication                        : Enabled

   Max-tx period                              : 30 s

   Handshake period                           : 15 s

   Offline detect period                      : 300 s

   Quiet timer                                : Disabled

       Quiet period                           : 60 s

   Supp timeout                               : 30 s

   Server timeout                             : 100 s

   Reauth period                              : 3600 s

   Unicast-trigger quiet period               : 0 s

   Max auth requests                          : 2

   SmartOn switch ID                          : 30

   SmartOn supp timeout                       : 30 s

   SmartOn retry counts                       : 3

   User aging period for Auth-Fail VLAN       : 1000 s

   User aging period for Auth-Fail VSI        : 1000 s

   User aging period for critical VLAN        : 1000 s

   User aging period for critical VSI         : 1000 s

   User aging period for guest VLAN           : 1000 s

   User aging period for guest VSI            : 1000 s

   EAD assistant function                     : Disabled

       Permit authentication-escape           : Disabled

       EAD timeout                            : 30 min

   Domain delimiter                           : @

   Max-user-alarm trigger threshold           : 100%

   Max-user-alarm clear threshold             : 50%

 Online 802.1X wired users                    : 1

 

 GigabitEthernet1/0/1  is link-up

   802.1X authenticaiton            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : MAC-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : sun

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   Max online preauth-domain users  : 4294967295

   Max online Auth-Fail-domain users: 4294967295

   SmartOn                          : Disabled

Add Guest VLAN delay             : Disabled

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Critical microsegment ID         :Not configured

   Critical profile                 : Not configured

   User aging                       : Enabled

   Server-recovery online-user-sync : Enabled

 

   EAPOL packets: Tx 16331, Rx 102

   Sent EAP Request/Identity packets : 16316

        EAP Request/Challenge packets: 6

        EAP Success packets: 4

        EAP Failure packets: 5

   Received EAPOL Start packets : 6

            EAPOL LogOff packets: 2

            EAP Response/Identity packets : 80

            EAP Response/Challenge packets: 6

            Error packets: 0

   Online 802.1X users: 1

          MAC address         Auth state

          0002-0000-0011      Authenticated

此外,因为设置了Need To Know特性,目的MAC地址未知、广播和多播报文都被丢弃。

1.29.4  端口安全支持M-LAG配置举例

1. 组网需求

客户端经过Device A和Device B接入网络,由Device A和Device B对用户进行身份认证,具体需求如下:

·     采用RADIUS服务器对用户进行认证/授权/计费。

·     Device A和Device B组成M-LAG系统,正常工作时链路进行负载分担且任何一台设备故障对业务均没有影响,保证用户业务的高可靠性。

·     Device A和Device B的M-LAG接口上对用户采用macAddressWithRadius认证模式,且对用户报文进行负载分担,负载分担的模式为本端M-LAG接口上送的用户报文在本端M-LAG设备处理。

·     M-LAG系统中的一台M-LAG设备发生故障时,要求该故障设备上的用户发送的RADIUS报文的源IP始终保持不变,且使用M-LAG虚拟IP地址。

2. 组网图

图1-5 端口安全支持M-LAG典型配置组网图

设备

接口

M-LAG接口

IP地址

Device A(M-LAG1)

GE1/0/1

Keepalive链路接口

1.1.1.2/24

BAGG1(GE1/0/2)

peer-link口

-

BAGG2(GE1/0/4)

M-LAG接口

-

BAGG3(GE1/0/3)

M-LAG接口

-

Vlan-int 2

-

10.1.1.1/24

Device B(M-LAG2)

GE1/0/1

Keepalive链路接口

1.1.1.1/24

BAGG1(GE1/0/2)

peer-link口

-

BAGG2(GE1/0/4)

M-LAG接口

-

BAGG3(GE1/0/3)

M-LAG接口

-

Vlan-int 2

-

-

3. 配置限制和指导

下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全配置指导”中的“AAA”。

下述配置步骤包含了部分M-LAG配置命令,具体介绍请参见“二层技术-以太网交换配置指导”中的“M-LAG”。

4. 配置准备

保证接入用户和RADIUS服务器之间路由可达。

配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行。

5. 配置步骤

(1)     配置DeviceA

¡     配置AAA。

# 配置RADIUS方案。

<DeviceA> system-view

[DeviceA] radius scheme radsun

[DeviceA-radius-radsun] primary authentication 10.1.1.3

[DeviceA-radius-radsun] primary accounting 10.1.1.4

[DeviceA-radius-radsun] secondary authentication 10.1.1.4

[DeviceA-radius-radsun] secondary accounting 10.1.1.3

[DeviceA-radius-radsun] key authentication simple name

[DeviceA-radius-radsun] key accounting simple money

[DeviceA-radius-radsun] timer response-timeout 5

[DeviceA-radius-radsun] retry 5

[DeviceA-radius-radsun] timer realtime-accounting 15

[DeviceA-radius-radsun] user-name-format without-domain

# 配置本端M-LAG接口接入的用户发送RADIUS报文使用的源IP地址为10.1.1.1,对端M-LAG接口接入的用户发送RADIUS报文使用的源IP地址为10.1.1.2。

[DeviceA-radius-radsun] nas-ip m-lag local 10.1.1.1

[DeviceA-radius-radsun] nas-ip m-lag peer 10.1.1.2

[DeviceA-radius-radsun] quit

# 配置ISP域。

[DeviceA] domain sun

[DeviceA-isp-sun] authentication lan-access radius-scheme radsun

[DeviceA-isp-sun] authorization lan-access radius-scheme radsun

[DeviceA-isp-sun] accounting lan-access radius-scheme radsun

[DeviceA-isp-sun] quit

¡     配置M-LAG。

# 系统配置。

[DeviceA] m-lag system-mac 1-1-1

[DeviceA] m-lag system-number 1

[DeviceA] m-lag system-priority 123

# 配置Keepalive报文的目的IP地址和源IP地址。

[DeviceA] m-lag keepalive ip destination 1.1.1.1 source 1.1.1.2

# 配置端口GigabitEthernet1/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。

[DeviceA] interface gigabitethernet 1/0/5

[DeviceA-GigabitEthernet1/0/5] port link-mode route

[DeviceA-GigabitEthernet1/0/5] ip address 1.1.1.2 24

[DeviceA-GigabitEthernet1/0/5] quit

# 配置Keepalive链路接口为保留接口。

[DeviceA] m-lag mad exclude interface gigabitethernet 1/0/5

# 创建二层聚合接口1,并配置该接口为动态聚合模式。

[DeviceA] interface bridge-aggregation 1

[DeviceA-Bridge-Aggregation1] link-aggregation mode dynamic

[DeviceA-Bridge-Aggregation1] quit

# 将端口GigabitEthernet1/0/2加入到聚合组1中。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] port link-aggregation group 1

[DeviceA-GigabitEthernet1/0/2] quit

# 将二层聚合接口1配置为peer-link口。

[DeviceA] interface bridge-aggregation 1

[DeviceA-Bridge-Aggregation1] port m-lag peer-link 1

[DeviceA-Bridge-Aggregation1] quit

# 创建VLAN接口2,并配置该接口下的处于可用状态的M-LAG虚拟IP地址10.1.1.1以及处于不可用状态的M-LAG虚拟IP地址10.1.1.2。

[DeviceA] vlan 2

[DeviceA-vlan2] quit

[DeviceA] interface vlan-interface 2

[DeviceA-Vlan-interface2] port m-lag virtual-ip 10.1.1.1 24 active virtual-mac 11-1-1

[DeviceA-Vlan-interface2] port m-lag virtual-ip 10.1.1.2 24 standby virtual-mac 11-1-2

[DeviceA-Vlan-interface2] quit

# 创建二层聚合接口2,并配置该接口为动态聚合模式。

[DeviceA] interface bridge-aggregation 2

[DeviceA-Bridge-Aggregation2] link-aggregation mode dynamic

[DeviceA-Bridge-Aggregation2] quit

# 将端口GigabitEthernet1/0/4加入到聚合组2中。

[DeviceA] interface gigabitethernet 1/0/4

[DeviceA-GigabitEthernet1/0/4] port link-aggregation group 2

[DeviceA-GigabitEthernet1/0/4] quit

# 将二层聚合接口2加入跨设备链路聚合组2中。

[DeviceA] interface bridge-aggregation 2

[DeviceA-Bridge-Aggregation2] port m-lag group 2

[DeviceA-Bridge-Aggregation2] port access vlan 2

[DeviceA-Bridge-Aggregation2] quit

# 创建二层聚合接口3,并配置该接口为动态聚合模式。

[DeviceA] interface bridge-aggregation 3

[DeviceA-Bridge-Aggregation3] link-aggregation mode dynamic

[DeviceA-Bridge-Aggregation3] quit

# 将端口GigabitEthernet1/0/3加入到聚合组3中。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] port link-aggregation group 3

[DeviceA-GigabitEthernet1/0/3] quit

# 将二层聚合接口3加入跨设备链路聚合组3中。

[DeviceA] interface bridge-aggregation 3

[DeviceA-Bridge-Aggregation3] port m-lag group 3

[DeviceA-Bridge-Aggregation3] quit

¡     配置端口安全。

# 使能端口安全。

[DeviceA] port-security enable

# 配置MAC认证的用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。

[DeviceA] mac-authentication user-name-format mac-address with-hyphen uppercase

# 配置MAC地址认证用户所使用的ISP域。

[DeviceA] mac-authentication domain sun

# 在二层聚合接口3上设置端口安全模式为macAddressWithRadius。

[DeviceA] interface bridge-aggregation 3

[DeviceA-Bridge-Aggregation3] port-security port-mode mac-authentication

# 指定端口上接入的MAC地址认证用户使用强制认证域sun。

[DeviceA-Bridge-Aggregation3] mac-authentication domain sun

[DeviceA-Bridge-Aggregation3] quit

(2)     配置Device B

¡     配置AAA。

# 配置RADIUS方案。

<DeviceB> system-view

[DeviceB] radius scheme radsun

[DeviceB-radius-radsun] primary authentication 10.1.1.3

[DeviceB-radius-radsun] primary accounting 10.1.1.4

[DeviceB-radius-radsun] secondary authentication 10.1.1.4

[DeviceB-radius-radsun] secondary accounting 10.1.1.3

[DeviceB-radius-radsun] key authentication simple name

[DeviceB-radius-radsun] key accounting simple money

[DeviceB-radius-radsun] timer response-timeout 5

[DeviceB-radius-radsun] retry 5

[DeviceB-radius-radsun] timer realtime-accounting 15

[DeviceB-radius-radsun] user-name-format without-domain

# 配置本端M-LAG接口接入的用户发送RADIUS报文使用的源IP地址为10.1.1.2,对端M-LAG接口接入的用户发送RADIUS报文使用的源IP地址为10.1.1.1。

[DeviceB-radius-radsun] nas-ip m-lag local 10.1.1.2

[DeviceB-radius-radsun] nas-ip m-lag peer 10.1.1.1

[DeviceB-radius-radsun] quit

# 配置ISP域。

[DeviceB] domain sun

[DeviceB-isp-sun] authentication lan-access radius-scheme radsun

[DeviceB-isp-sun] authorization lan-access radius-scheme radsun

[DeviceB-isp-sun] accounting lan-access radius-scheme radsun

[DeviceB-isp-sun] quit

¡     配置M-LAG。

# 系统配置。

[DeviceB] m-lag system-mac 1-1-1

[DeviceB] m-lag system-number 2

[DeviceB] m-lag system-priority 123

# 配置Keepalive报文的目的IP地址和源IP地址。

[DeviceB] m-lag keepalive ip destination 1.1.1.2 source 1.1.1.1

# 配置端口GigabitEthernet1/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。

[DeviceB] interface gigabitethernet 1/0/5

[DeviceB-GigabitEthernet1/0/5] port link-mode route

[DeviceB-GigabitEthernet1/0/5] ip address 1.1.1.1 24

[DeviceB-GigabitEthernet1/0/5] quit

# 配置Keepalive链路接口为保留接口。

[DeviceB] m-lag mad exclude interface gigabitethernet 1/0/5

# 创建二层聚合接口1,并配置该接口为动态聚合模式。

[DeviceB] interface bridge-aggregation 1

[DeviceB-Bridge-Aggregation1] link-aggregation mode dynamic

[DeviceB-Bridge-Aggregation1] quit

# 将端口GigabitEthernet1/0/2加入到聚合组1中。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] port link-aggregation group 1

[DeviceB-GigabitEthernet1/0/2] quit

# 将二层聚合接口1配置为peer-link口。

[DeviceB] interface bridge-aggregation 1

[DeviceB-Bridge-Aggregation1] port m-lag peer-link 1

[DeviceB-Bridge-Aggregation1] quit

# 创建VLAN接口2,并配置该接口下的处于可用状态的M-LAG虚拟IP地址10.1.1.2以及处于不可用状态的M-LAG虚拟IP地址10.1.1.1。

[DeviceB] vlan 2

[DeviceB-vlan2] quit

[DeviceB] interface vlan-interface 2

[DeviceB-Vlan-interface2] port m-lag virtual-ip 10.1.1.2 24 active virtual-mac 11-1-2

[DeviceB-Vlan-interface2] port m-lag virtual-ip 10.1.1.1 24 standby virtual-mac 11-1-1

[DeviceB-Vlan-interface2] quit

# 创建二层聚合接口2,并配置该接口为动态聚合模式。

[DeviceB] interface bridge-aggregation 2

[DeviceB-Bridge-Aggregation2] link-aggregation mode dynamic

[DeviceB-Bridge-Aggregation2] quit

# 将端口GigabitEthernet1/0/4加入到聚合组2中。

[DeviceB] interface gigabitethernet 1/0/4

[DeviceB-GigabitEthernet1/0/4] port link-aggregation group 2

[DeviceB-GigabitEthernet1/0/4] quit

# 将二层聚合接口2加入跨设备链路聚合组2中。

[DeviceB] interface bridge-aggregation 2

[DeviceB-Bridge-Aggregation2] port m-lag group 2

[DeviceB-Bridge-Aggregation2] port access vlan 2

[DeviceB-Bridge-Aggregation2] quit

# 创建二层聚合接口3,并配置该接口为动态聚合模式。

[DeviceB] interface bridge-aggregation 3

[DeviceB-Bridge-Aggregation3] link-aggregation mode dynamic

[DeviceB-Bridge-Aggregation3] quit

# 将端口GigabitEthernet1/0/3加入到聚合组3中。

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] port link-aggregation group 3

[DeviceB-GigabitEthernet1/0/3] quit

# 将二层聚合接口3加入跨设备链路聚合组3中。

[DeviceB] interface bridge-aggregation 3

[DeviceB-Bridge-Aggregation3] port m-lag group 3

[DeviceB-Bridge-Aggregation3] quit

¡     配置端口安全。

# 使能端口安全。

[DeviceB] port-security enable

# 配置MAC认证的用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。

[DeviceB] mac-authentication user-name-format mac-address with-hyphen uppercase

# 配置MAC地址认证用户所使用的ISP域。

[DeviceB] mac-authentication domain sun

# 在二层聚合接口3上设置端口安全模式为macAddressWithRadius。

[DeviceB] interface bridge-aggregation 3

[DeviceB-Bridge-Aggregation3] port-security port-mode mac-authentication

# 指定端口上接入的MAC地址用户使用强制认证域sun。

[DeviceB-Bridge-Aggregation3] mac-authentication domain sun

[DeviceB-Bridge-Aggregation3] quit

(3)     配置Device C

# 创建二层聚合接口1,并配置该接口为动态聚合模式。

<DeviceC> system-view

[DeviceC] interface bridge-aggregation 1

[DeviceC-Bridge-Aggregation1] link-aggregation mode dynamic

[DeviceC-Bridge-Aggregation1] quit

# 分别将端口GigabitEthernet1/0/1和GigabitEthernet1/0/4加入到聚合组1中。

[DeviceC] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/4

[DeviceC-if-range] port link-aggregation group 1

[DeviceC-if-range] quit

(4)     配置Device D

# 创建二层聚合接口1,并配置该接口为动态聚合模式。

<DeviceD> system-view

[DeviceD] interface bridge-aggregation 1

[DeviceD-Bridge-Aggregation1] link-aggregation mode dynamic

[DeviceD-Bridge-Aggregation1] quit

# 分别将端口GigabitEthernet1/0/1和GigabitEthernet1/0/4加入到聚合组1中。

[DeviceD] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/4

[DeviceD-if-range] port link-aggregation group 1

[DeviceD-if-range] quit

6. 验证配置

(1)     验证Device A

# 查看Device A上的M-LAG简要信息。

[DeviceA] display m-lag summary

Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured

       C -- Configuration consistency check failed

 

Peer-link interface: BAGG1

Peer-link interface state (cause): UP

Keepalive link state (cause): UP

 

                     M-LAG interface information

M-LAG interface  M-LAG group  Local state (cause)  Peer state  Remaining down time(s)

BAGG2         2         UP                   UP          -

BAGG3         3         UP                   UP          -

以上信息表明Device A和Device B成功组成跨设备链路聚合系统。

# 查看Device A上的端口安全配置信息。

[DeviceA] display port-security interface bridge-aggregation 3

Global port security parameters:

   Port security                           : Enabled

   M-LAG load sharing mode (criterion)     : Distributed (local)

   M-LAG member's authentication scope     : Local M-LAG interfaces

   M-LAG member configuration conflict     : Not conflicted

   AutoLearn aging time                    : 0 min

   Disableport timeout                     : 20 s

   Blockmac timeout                        : 180 s

   MAC move                                : Denied

   Authorization fail                      : Online

   NAS-ID profile                          : Not configured

   Dot1x-failure trap                      : Disabled

   Dot1x-logon trap                        : Disabled

   Dot1x-logoff trap                       : Disabled

   Intrusion trap                          : Disabled

   Address-learned trap                    : Disabled

   Mac-auth-failure trap                   : Disabled

   Mac-auth-logon trap                     : Disabled

   Mac-auth-logoff trap                    : Disabled

   Open authentication                     : Disabled

   Traffic-statistics                      : Enabled

   User aging period for preauth domain    : 82800 sec

   User aging period for Auth-Fail domain  : 82800 sec

   User aging period for critical domain   : 82800 sec

   Reauth period for preauth domain        : 600 sec

   Reauth period for Auth-Fail domain      : 600 sec

   MAC move for topology change protection : Denied

     Topology change detection period      : 5 sec

     Max detection attempts                : 3

   OUI value list                          :

 Bridge-Aggregation3 is link-up

   Port mode                               : macAuthentication

   NeedToKnow mode                         : Disabled

   Intrusion protection mode               : NoAction

   Max secure MAC addresses                : Not configured

   Authorization                           : Permitted

   NAS-ID profile                          : Not configured

   Free VLANs                              : Not configured

   Open authentication                     : Disabled

   MAC-move VLAN check bypass              : Disabled

配置完成后,如果有用户认证上线,则可以通过下述显示信息看到当前端口上的用户认证信息。

# 查看Device A上的MAC地址认证信息。

[DeviceA] display mac-authentication interface bridge-aggregation 3

 Global MAC authentication parameters:

   MAC authentication                  : Enabled

   Authentication method               : CHAP

   M-LAG member configuration conflict : Not conflicted

   Username format                     : MAC address in lowercase(xxxxxxxxxxxx)

           Username                    : mac

           Password                    : Not configured

   MAC range accounts                  : 0

          MAC address          Mask                 Username

 

   Offline detect period                      : 60 s

   Quiet period                               : 60 s

   Server timeout                             : 100 s

   Reauth period                              : 3600 s

   User aging period for critical VLAN        : 1000 s

   User aging period for critical VSI         : 1000 s

   User aging period for guest VLAN           : 1000 s

   User aging period for guest VSI            : 1000 s

   User aging period for critical microsegment: 1000 s

   Authentication domain                      : test

   HTTP proxy port list                       : Not configured

   HTTPS proxy port list                      : Not configured

   Max number of silent MACs                  : 1024 (per slot)

 Online MAC-auth wired users                  : 10

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 Bridge-Aggregation3 is link-up

   MAC authentication                         : Enabled

   Carry User-IP                              : Disabled

   Authentication domain                      : test

   Auth-delay timer                           : Disabled

   Periodic reauth                            : Disabled

   Re-auth server-unreachable                 : Logoff

   Guest VLAN                                 : Not configured

   Guest VLAN reauthentication                : Enabled

     Guest VLAN auth-period                   : 30 s

   Critical VLAN                              : Not configured

   Critical voice VLAN                        : Disabled

   Host mode                                  : Single VLAN

   Offline detection                          : Enabled

   Authentication order                       : Default

   User aging                                 : Enabled

   Server-recovery online-user-sync           : Disabled

 

   Guest VSI                                  : Not configured

   Guest VSI reauthentication                 : Enabled

     Guest VSI auth-period                    : 30 s

   Critical VSI                               : Not configured

   Critical microsegment ID                   : Not configured

   URL user logoff                            : No

   Auto-tag feature                           : Disabled

   VLAN tag configuration ignoring            : Disabled

   Max online users                           : 4294967295

   Authentication attempts                    : successful 6, failed 3174

   Current online users                       : 10

          MAC address       Auth state

          0000-0000-0001    Authenticated

          0000-0000-0002    Authenticated

          0000-0000-0003    Authenticated

          0000-0000-0004    Authenticated

          0000-0000-0005    Authenticated

          0000-0000-0006    Authenticated

          0000-0000-0007    Authenticated

          0000-0000-0008    Authenticated

          0000-0000-0009    Authenticated

          0000-0000-000a    Authenticated

(2)     验证Device B

# 查看DeviceB上的M-LAG简要信息。

[DeviceB] display m-lag summary

Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured

       C -- Configuration consistency check failed

Peer-link interface: BAGG1

Peer-link interface state (cause): UP

Keepalive link state (cause): UP

                     M-LAG interface information

M-LAG interface  M-LAG group  Local state (cause)  Peer state  Remaining down time(s)

BAGG2         2         UP                   UP          -

BAGG3         3         UP                   UP          -

以上信息表明Device A和Device B成功组成跨设备链路聚合系统。

# 查看Device B上端口安全的配置信息。

[DeviceB]display port-security interface bridge-aggregation 3

Global port security parameters:

   Port security                           : Enabled

   M-LAG load sharing mode (criterion)     : Distributed (local)

   M-LAG member's authentication scope     : Local M-LAG interfaces

   M-LAG member configuration conflict     : Not conflicted

   AutoLearn aging time                    : 0 min

   Disableport timeout                     : 20 s

   Blockmac timeout                        : 180 s

   MAC move                                : Denied

   Authorization fail                      : Online

   NAS-ID profile                          : Not configured

   Dot1x-failure trap                      : Disabled

   Dot1x-logon trap                        : Disabled

   Dot1x-logoff trap                       : Disabled

   Intrusion trap                          : Disabled

   Address-learned trap                    : Disabled

   Mac-auth-failure trap                   : Disabled

   Mac-auth-logon trap                     : Disabled

   Mac-auth-logoff trap                    : Disabled

   Open authentication                     : Disabled

   Traffic-statistics                      : Enabled

   User aging period for preauth domain    : 82800 sec

   User aging period for Auth-Fail domain  : 82800 sec

   User aging period for critical domain   : 82800 sec

   Reauth period for preauth domain        : 600 sec

   Reauth period for Auth-Fail domain      : 600 sec

   MAC move for topology change protection : Denied

     Topology change detection period      : 5 sec

     Max detection attempts                : 3

   OUI value list                          :

 

 Bridge-Aggregation3 is link-up

   Port mode                               : macAuthentication

   NeedToKnow mode                         : Disabled

   Intrusion protection mode               : NoAction

   Max secure MAC addresses                : Not configured

   Authorization                           : Permitted

   NAS-ID profile                          : Not configured

   Free VLANs                              : Not configured

   Open authentication                     : Disabled

   MAC-move VLAN check bypass              : Disabled

配置完成后,如果有用户认证上线,则可以通过下述显示信息看到当前端口上的用户认证信息。

# 查看Device B上的MAC地址认证信息。

[DeviceB] display mac-authentication interface bridge-aggregation 3

 Global MAC authentication parameters:

   MAC authentication                  : Enabled

   Authentication method               : CHAP

   M-LAG member configuration conflict : Not conflicted

   Username format                     : MAC address in lowercase(xxxxxxxxxxxx)

           Username                    : mac

           Password                    : Not configured

   MAC range accounts                  : 0

          MAC address          Mask                 Username

   Offline detect period                      : 60 s

   Quiet period                               : 60 s

   Server timeout                             : 100 s

   Reauth period                              : 3600 s

   User aging period for critical VLAN        : 1000 s

   User aging period for critical VSI         : 1000 s

   User aging period for guest VLAN           : 1000 s

   User aging period for guest VSI            : 1000 s

   User aging period for critical microsegment: 1000 s

   Authentication domain                      : test

   HTTP proxy port list                       : Not configured

   HTTPS proxy port list                      : Not configured

   Max number of silent MACs                  : 1024 (per slot)

 Online MAC-auth wired users                  : 10

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 Bridge-Aggregation3 is link-up

   MAC authentication                         : Enabled

   Carry User-IP                              : Disabled

   Authentication domain                      : test

   Auth-delay timer                           : Disabled

   Periodic reauth                            : Disabled

   Re-auth server-unreachable                 : Logoff

   Guest VLAN                                 : Not configured

   Guest VLAN reauthentication                : Enabled

     Guest VLAN auth-period                   : 30 s

   Critical VLAN                              : Not configured

   Critical voice VLAN                        : Disabled

   Host mode                                  : Single VLAN

   Offline detection                          : Enabled

   Authentication order                       : Default

   User aging                                 : Enabled

   Server-recovery online-user-sync           : Disabled

   Guest VSI                                  : Not configured

   Guest VSI reauthentication                 : Enabled

     Guest VSI auth-period                    : 30 s

   Critical VSI                               : Not configured

   Critical microsegment ID                   : Not configured

   URL user logoff                            : No

   Auto-tag feature                           : Disabled

   VLAN tag configuration ignoring            : Disabled

   Max online users                           : 4294967295

   Authentication attempts                    : successful 20, failed 3099

   Current online users                       : 10

          MAC address       Auth state

          0000-0000-0001    Authenticated

          0000-0000-0002    Authenticated

          0000-0000-0003    Authenticated

          0000-0000-0004    Authenticated

          0000-0000-0005    Authenticated

          0000-0000-0006    Authenticated

          0000-0000-0007    Authenticated

          0000-0000-0008    Authenticated

          0000-0000-0009    Authenticated

          0000-0000-000a    Authenticated

可以到Device A和Device B上存在相同的用户认证信息。

1.30  常见配置错误举例

1.30.1  端口安全模式无法设置

1. 故障现象

无法设置端口的端口安全模式。

2. 故障分析

在当前端口的端口安全模式已配置的情况下,无法直接对端口安全模式进行设置。

3. 处理过程

首先设置端口安全模式为noRestrictions状态,再设置新的端口安全模式。

[Device-GigabitEthernet1/0/1] undo port-security port-mode

[Device-GigabitEthernet1/0/1] port-security port-mode autolearn

1.30.2  无法配置安全MAC地址

1. 故障现象

无法配置安全MAC地址。

2. 故障分析

端口安全模式为非autoLearn时,不能对安全MAC地址进行设置。

3. 处理过程

设置端口安全模式为autoLearn状态。

[Device-GigabitEthernet1/0/1] undo port-security port-mode

[Device-GigabitEthernet1/0/1] port-security max-mac-count 64

[Device-GigabitEthernet1/0/1] port-security port-mode autolearn

[Device-GigabitEthernet1/0/1] port-security mac-address security 1-1-2 vlan 1

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们