06-端口安全命令
本章节下载: 06-端口安全命令 (815.94 KB)
目 录
1.1.2 display port-security access-user
1.1.3 display port-security authentication-profile
1.1.4 display port-security mac-address block
1.1.5 display port-security mac-address m-lag sync-from-peer
1.1.6 display port-security mac-address m-lag sync-to-peer
1.1.7 display port-security mac-address security
1.1.8 display port-security static-user
1.1.9 display port-security static-user connection
1.1.10 display port-security statistics
1.1.11 port-security access-user log enable
1.1.12 port-security authentication open
1.1.13 port-security authentication open global
1.1.14 port-security authentication-profile
1.1.15 port-security authentication-profile name
1.1.16 port-security authorization ignore
1.1.17 port-security authorization-fail offline
1.1.18 port-security auth-order
1.1.20 port-security escape critical-vsi
1.1.21 port-security global escape critical-vsi
1.1.22 port-security intrusion-mode
1.1.23 port-security link-down action
1.1.24 port-security m-lag load-sharing-mode
1.1.25 port-security mac-address aging-type inactivity
1.1.26 port-security mac-address dynamic
1.1.27 port-security mac-address security
1.1.28 port-security mac-limit
1.1.29 port-security mac-move bypass-vlan-check
1.1.30 port-security mac-move overwrite-local
1.1.31 port-security mac-move permit
1.1.32 port-security max-mac-count
1.1.33 port-security nas-id-profile
1.1.36 port-security packet-detect arp-source-ip factor
1.1.37 port-security port-mode
1.1.38 port-security pre-auth domain
1.1.39 port-security static-user
1.1.40 port-security static-user match-mac acl
1.1.41 port-security static-user max-user
1.1.42 port-security static-user password
1.1.43 port-security static-user timer detect-period
1.1.44 port-security static-user timer offline-detect
1.1.45 port-security static-user update-ip enable
1.1.46 port-security static-user user-name-format
1.1.47 port-security static-user user-name-format mac-address
1.1.48 port-security strict-intrusion-protection enable
1.1.50 port-security timer autolearn aging
1.1.51 port-security timer blockmac
1.1.52 port-security timer disableport
1.1.53 port-security topology-change detect-period
1.1.54 port-security topology-change detect-retry
1.1.55 port-security topology-change free-mac-move
1.1.56 port-security triple-auth-order mac-dot1x-web
1.1.57 port-security url-unavailable domain
1.1.58 reset port-security static-user
1.1.59 reset port-security statistics
1.1.60 snmp-agent trap enable port-security
· 设备仅在独立运行模式下支持MDC。关于MDC的详细介绍,请参见“虚拟化技术配置指导”中的“MDC”。
· 仅SF系列接口板上支持二层聚合接口视图下配置端口安全。
display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。
【命令】
display port-security [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定端口的端口安全相关信息。interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示所有端口的端口安全信息。
【使用指导】
端口上绑定端口安全认证模板后,端口安全认证模板下支持配置的功能在接口视图下的相同配置不再生效。
【举例】
# 显示所有端口的端口安全相关状态。
<Sysname> display port-security
Global port security parameters:
Port security : Enabled
M-LAG load sharing mode (criterion) : Distributed (local)
M-LAG member's authentication scope : Local M-LAG interfaces
M-LAG member configuration conflict : Unknown
AutoLearn aging time : 0 min
Disableport timeout : 20 sec
Blockmac timeout : 180 sec
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Enabled
Intrusion trap : Disabled
Address-learned trap : Enabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Enabled
Mac-auth-logoff trap : Disabled
Open authentication : Disabled
Traffic-statistics : Disabled
User aging period for preauth domain : 82800 sec
User aging period for Auth-Fail domain : 82800 sec
User aging period for critical domain : 82800 sec
Reauth period for preauth domain : 600 sec
Reauth period for Auth-Fail domain : 600 sec
MAC move for topology change protection : Denied
Topology change detection period : 5 sec
Max detection attempts : 3
OUI value list :
Index : 1 Value : 123401
Ten-GigabitEthernet3/0/1 is link-up
Authentication profile : p1
Port mode : userLogin
Pre-auth domain : test
URL-unavailable domain :domain1
NeedToKnow mode : Disabled
Intrusion protection mode : NoAction
Strict intrusion protection : Disabled
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 32
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
Free VLANs : Not configured
Open authentication : Disabled
MAC-move VLAN check bypass : Disabled
表1-1 display port-security命令显示信息描述表
字段 |
描述 |
Port security |
端口安全的开启状态 |
M-LAG load sharing mode (criterion) |
本端M-LAG接口上的用户处理模式 · Centralized:集中处理模式 · Distributed:分布处理模式 · 分布处理模式的匹配类型: · local:匹配本设备收到的报文 · odd source MAC:匹配源MAC地址为奇数的报文 · even source MAC:匹配源MAC地址为偶数的报文 |
M-LAG member's authentication scope |
端口安全M-LAG接口用户报文处理范围 · None:不处理任何M-LAG接口用户 · Odd source MACs:只处理源MAC地址为奇数的M-LAG接口用户报文 · Even source MACs:只处理源MAC地址为偶数的M-LAG接口用户报文 · Local M-LAG interfaces:只处理经由本地M-LAG接口上送的用户报文 · All:处理所有M-LAG接口上送的用户报文 |
M-LAG member configuration conflict |
两台M-LAG设备配置检查结果 · Conflicted :两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
AutoLearn aging time |
Sticky MAC地址的老化时间,单位为分钟或秒 |
Disableport timeout |
收到非法报文的端口暂时被关闭的时间,单位为秒 |
Blockmac timeout |
收到非法报文的端口将非法报文的源MAC地址加入阻塞MAC地址列表的时间,单位为秒 |
MAC move |
MAC迁移功能的开启状态 · Both port move and VLAN move are permitted:同时开启了允许端口迁移和允许VLAN迁移功能 · Denied:未开启MAC迁移功能 · Only port move is permitted:仅开启允许端口迁移功能 · Only VLAN move is permitted:仅开启允许VLAN迁移功能 |
Authorization fail |
授权失败后用户的状态,包括下线(Offline)和保持在线(Online)两种类型 |
NAS-ID profile |
全局引用的NAS-ID Profile |
Dot1x-failure trap |
802.1X用户认证失败的告警功能开启状态 |
Dot1x-logon trap |
802.1X用户认证成功的告警功能开启状态 |
Dot1x-logoff trap |
802.1X用户认证下线的告警功能开启状态 |
Intrusion trap |
发现非法报文的告警功能开启状态 |
Address-learned trap |
端口学习到新MAC地址的告警功能开启状态 |
Mac-auth-failure trap |
MAC地址认证用户认证失败的告警功能开启状态 |
Mac-auth-logon trap |
MAC地址认证用户认证成功的告警功能开启状态 |
Mac-auth-logoff trap |
MAC地址认证用户认证下线的告警功能开启状态 |
Open authentication |
端口安全全局开放认证模式功能开启状态 · Enabled:打开 · Disabled:关闭 |
Traffic-statistics |
端口安全接入用户的流量统计功能开启状态 · Enabled:开启 · Disabled:关闭 |
User aging period for preauth domain |
认证前域中用户的老化时间,单位为秒 |
User aging period for Auth-Fail domain |
认证失败域中用户的老化时间,单位为秒 |
User aging period for critical domain |
认证逃生域中用户的老化时间,单位为秒 |
Reauth period for preauth domain |
认证前域中用户的重认证周期,单位为秒 |
Reauth period for Auth-Fail domain |
认证失败域中用户的重认证周期,单位为秒 |
MAC move for topology change protection |
网络拓扑改变时,隔离组内MAC迁移功能的开启状态: · Denied:不允许用户在隔离组成员端口间迁移 · Permitted:允许用户在隔离组成员端口间迁移 |
Topology change detection period |
网络拓扑改变时的报文探测周期,单位为秒 |
Max detection attempts |
网络拓扑改变时的报文探测最大次数 |
OUI value list |
允许通过认证的用户的24位OUI值 |
Index |
OUI的索引 |
Value |
OUI值 |
Authentication profile |
端口绑定的端口安全认证模板。如果端口未绑定端口安全认证模板,则显示为“Not configured” |
Port mode |
端口安全模式,包括以下几种: · noRestriction · autoLearn · macAddressWithRadius · macAddressElseUserLoginSecure · macAddressElseUserLoginSecureExt · macAddressAndUserLoginSecureExt · secure · userLogin · userLoginSecure · userLoginSecureExt · macAddressOrUserLoginSecure · macAddressOrUserLoginSecureExt · userLoginWithOUI 关于各模式的具体涵义,请参考端口安全配置手册 |
Pre-auth domain |
端口安全认证前用户使用的域 |
URL-unavailable domain |
端口安全认证URL不可达时使用的逃生域 |
NeedToKnow mode |
Need To Know模式,包括以下几种: · NeedToKnowOnly:表示仅允许目的MAC地址为已知MAC地址的单播报文通过 · NeedToKnowWithBroadcast:允许目的MAC地址为已知MAC地址的单播报文或广播地址的报文通过 · NeedToKnowWithMulticast:允许目的MAC地址为已知MAC地址的单播报文,广播地址或组播地址的报文通过 · NeedToKnowAuto:表示仅当有用户上线后,才允许广播地址报文、组播地址报文和目的MAC地址为已知MAC地址的单播报文通过 · Disabled:表示不进行NTK处理 |
Intrusion protection mode |
入侵检测特性模式,包括以下几种: · BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中 · DisablePort:表示将收到非法报文的端口永久关闭 · DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间 · NoAction:表示不进行入侵检测处理 |
Strict intrusion protection |
端口上严格入侵检测的开启状态 · Enabled:开启 · Disabled:关闭 |
Security MAC address attribute |
安全MAC地址的相关属性 |
Security MAC address learning mode |
安全MAC地址的学习方式: · Dynamic:动态类型 · Sticky:Sticky类型 |
Security MAC address aging type |
安全MAC地址的老化方式: · Periodical:按照配置的老化时间间隔进行老化 · Inactivity:无流量命中时老化 |
Max secure MAC addresses |
端口安全允许的最大安全MAC地址数目或上线用户数 |
Current secure MAC addresses |
端口下保存的安全MAC地址数目 |
Authorization |
服务器的授权信息是否被忽略 · Permitted:表示当前端口应用RADIUS服务器或本地设备下发的授权信息 · Ignored:表示当前端口不应用RADIUS服务器或本地设备下发的授权信息 |
NAS-ID profile |
端口下引用的 NAS-ID Profile |
Free VLANs |
(暂不支持)端口上配置的无需认证的VLAN,如果没有配置,则显示Not configured |
Open authentication |
端口安全端口开放认证模式功能开启状态 · Enabled:打开 · Disabled:关闭 |
MAC-move VLAN check bypass |
端口上MAC迁移时不检查VLAN功能的开启状态 · Enabled:开启 · Disabled:关闭 |
display port-security access-user命令用来显示端口接入在线用户的表项信息。
【命令】
(独立运行模式)
display port-security access-user [ m-lag [ local | peer ] ] [ access-type { dot1x | mac-auth | web-auth | static } | domain domain-name | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | slot slot-number ] * [ brief ]
(IRF模式)
display port-security access-user [ m-lag [ local | peer ] ] [ access-type { dot1x | mac-auth | web-auth | static } | chassis chassis-number slot slot-number | domain domain-name | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } ] * [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
m-lag [ local | peer ]:显示M-LAG组网中,M-LAG接口上在线用户的信息。如果不指定该参数,则显示设备上所有在线用户的信息。如果不指定local和peer参数,则显示本端M-LAG设备和对端M-LAG设备上在线用户的信息
· local:显示本端M-LAG设备上在线用户的信息。
· peer:显示对端M-LAG设备上在线用户的信息。
access-type:接入类型。
· dot1x:显示802.1X认证用户的表项信息。
· mac-auth:显示MAC地址认证用户的表项信息。
· web-auth:显示Web认证用户的表项信息。
· static:显示静态用户的表项信息。
· domain isp-name:显示指定ISP域中的接入用户的表项信息。isp-name表示ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
online-type:显示指定类型的接入用户信息。
· auth-fail-domain:显示认证失败域内的接入用户信息。
· critical-domain:显示认证逃生域内的接入用户信息。
· preauth-domain:显示认证前域内的接入用户信息。
· success:显示认证成功的接入用户信息。
· url-unavailable-domain:显示URL不可达逃生域内的接入用户信息。
slot slot-number:显示指定单板上的接入用户信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的接入用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的接入用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的接入用户信息。(IRF模式)
brief:显示接入用户的简要信息。如果不指定该参数,则显示接入用户的详细信息。
【使用指导】
认证失败域、认证逃生域的详细介绍,请参见“安全配置指导”中的“AAA”。
如果不指定任何参数,则显示所有接入用户的表项信息。
【举例】
# 显示名为test的ISP域内的接入用户的详细信息。
<Sysname> display port-security access-user domain test
Total access users: 2
Username : aaa
IP address : 10.12.12.254
IPv6 address : 2:1::3
MAC address : 00e0-fcc2-0175
State : Pre-authen
Authentication result : Unauthenticated
Access type : 802.1X authentication
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
Username : abc
IP address : 10.12.12.257
IPv6 address : 2:1::4
MAC address : 00e0-fcc2-0152
State : Successful
Authentication result : Authentication succeeded
Access type : Static user access
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
# 显示认证前域内的接入用户的详细信息。
<Sysname> display port-security access-user online-type preauth-domain
Total access users: 1
Username : aaa
IP address : 10.12.12.254
IPv6 address : 2:1::4
MAC address : 00e0-fcc2-0175
State : Preauth domain
Authentication result : Unauthenticated
Access type : 802.1X authentication
M-LAG NAS-IP type : Local
M-LAG user state : Active
Authentication domain : abc
Authorization microsegment ID : N/A
表1-2 display port-security access-user命令显示详细信息描述表
字段 |
描述 |
Total access users |
接入用户总数 |
Username |
接入用户的用户名 |
IP address |
接入用户的IP地址 |
IPv6 address |
接入用户的IPv6地址 |
MAC address |
接入用户的MAC 地址 |
State |
接入用户的状态,取值包括: · Critical domain:处于逃生域中 · Auth-Fail domain:处于认证失败域中 · Preauth domain:处于认证前域中 · Successful:认证成功 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 |
Authentication result |
接入用户的认证结果,取值包括: · Unauthenticated:未认证 · Authentication succeeded:认证成功 · Authentication failed:认证失败 · AAA server unavailable:AAA服务器不可达 · URL unavailable:URL不可达 |
Access type |
接入认证方式,取值包括: · 802.1X authentication:802.1X · MAC authentication:MAC地址认证 · Web authentication:Web认证 · Static user access:静态用户 |
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型: · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态: · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
Authentication domain |
认证时所用的ISP域 |
Authorization microsegment ID |
授权的微分段ID |
# 显示认证域test内的接入用户的简要信息。
<Sysname> display port-security access-user domain test brief
Total access users: 2
Username IP address MAC address State Access type
aaa 10.12.12.254 00e0-fcc2-0175 Preauth 802.1X
bbb 2:1::3 00e0-fcc2-0172 Preauth MAC-auth
表1-3 display port-security access-user brief命令显示简要信息描述表
字段 |
描述 |
Total access users |
接入用户总数 |
Username |
接入用户的用户名 |
IP address |
接入用户的IP地址。如果用户同时拥有IPv4和IPv6地址,则本字段只显示IPv4地址;如果用户只有IPv6地址,则本字段显示IPv6地址 |
MAC address |
接入用户的MAC地址 |
State |
接入用户的状态,取值包括: · Critical:处于逃生域中 · Auth-Fail:处于认证失败域中 · Preauth:处于认证前域中 · Successful:认证成功 |
Access type |
接入认证方式,取值包括: · 802.1X:802.1X · MAC-auth:MAC地址认证 · Web-auth:Web认证 · Static:静态用户 |
display port-security authentication-profile命令用来显示端口安全认证模板的配置信息。
【命令】
display port-security authentication-profile [ name profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name profile-name:指定端口安全认证模板。profile-name为端口安全认证模板名称,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有端口安全认证模板的简要配置。
【使用指导】
完成端口安全认证模板的配置后,可以使用本命令查看端口安全认证模板的配置信息是否正确。
【举例】
# 显示所有端口安全认证模板的配置信息。
<Sysname> display port-security authentication-profile
Total number: 2
Auth-profile 802.1x acc-profile MAC acc-profile
aaa1 bbb1 ccc1
aaa2 bbb2 ccc2
# 显示端口安全认证模板auth1的配置信息。
<Sysname> display port-security authentication-profile name auth1
802.1x access profile : d1
MAC-authentication access profile : m1
Authentication order : dot1x-mac
Multi-authentication : Disabled
Parallel-authentication : Enabled
Pre-auth domain : test
URL-unavailable domain : domain1
MAC-move VLAN check bypass : Disabled
Link down action : Offline after a delay (10 sec)
Total interfaces bound to the profile: 3
ten-gigabitethernet 3/0/1
ten-gigabitethernet 3/0/2
ten-gigabitethernet 3/0/3
表1-4 display port-security authentication-profile命令显示信息描述表
字段 |
描述 |
Auth-profile |
端口安全认证模板 |
802.1x acc-profile |
802.1X接入模板 |
MAC acc-profile |
MAC地址认证接入模板 |
802.1x access profile |
端口安全认证模板绑定的802.1X接入模板 |
MAC-authentication access profile |
端口安全认证模板绑定的MAC地址认证接入模板 |
Authentication order |
端口安全认证模式 |
Multi-authentication |
多步认证功能的开启状态 · Enabled:打开 · Disabled:关闭 |
Parallel-authentication |
802.1X和MAC地址认证并行认证功能的开启状态 · Enabled:打开 · Disabled:关闭 |
Pre-auth domain |
端口安全认证前用户使用的域 |
URL-unavailable domain |
端口安全认证URL不可达时使用的逃生域 |
MAC-move VLAN check bypass |
MAC迁移时不检查VLAN功能的开启状态 · Enabled:打开 · Disabled:关闭 |
Link down action |
接口端口DOWN时对在线用户的处理措施,取值包括: · Keep online:用户保持在线 · Offline:用户立即下线 · Offline after a delay (XX sec):用户延迟下线,XX表示延迟时间 |
Total interfaces bound to the profile |
绑定该端口安全认证模板的接口总数 |
display port-security mac-address block命令用来显示阻塞MAC地址信息。
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:显示阻塞MAC地址的个数。
【使用指导】
如果不指定任何参数,则显示所有阻塞MAC地址的信息。
【举例】
# 显示所有阻塞MAC地址。(独立运行模式)
<Sysname> display port-security mac-address block
MAC ADDR Port VLAN ID
000f-3d80-0d2d XGE3/0/1 30
--- On slot 3, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
# 显示所有阻塞MAC地址计数。(独立运行模式)
<Sysname> display port-security mac-address block count
--- On slot 3, 1 MAC address(es) found ---
--- 1 mac address(es) found ---
表1-5 display port-security mac-address block命令显示信息描述表
字段 |
描述 |
MAC ADDR |
阻塞MAC地址 |
Port |
阻塞MAC地址所在端口 |
VLAN ID |
端口所属VLAN |
number mac address(es) found |
当前阻塞MAC地址数目为number个 |
【相关命令】
· port-security intrusion-mode
display port-security mac-address m-lag sync-from-peer命令用来显示端口安全从M-LAG对端同步过来的MAC地址表项信息。
【命令】
display port-security mac-address m-lag sync-from-peer [ user-mac mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
user-mac mac-address:显示从对端同步过来的指定MAC地址的表项信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有从对端同步过来的MAC地址表项信息。
【使用指导】
M-LAG单挂组网中,对端用户认证成功并获得授权微分段上线后,对端用户的MAC地址表项将被自动同步到本端设备上。本端设备获得对端用户的微分段信息后,将对来自对端用户的访问流量执行其所属微分段对应的组策略,从而实现对端用户可以访问本端设备上的网络资源。
执行本命令可以在本设备上查看从对端同步过来的MAC地址表项。
设备会将同步过来的MAC地址表项下发到驱动,提供给其它模块解析使用。例如,ARP模块可以通过该MAC地址表项建立用户IP地址与微分段的对应关系。若下发驱动失败,本命令将显示失败的原因,便于定位问题并进行处理。
【举例】
# 显示端口安全从M-LAG对端同步过来的MAC地址表项信息。
<Sysname> display port-security mac-address m-lag peer-link sync-from-peer
Total MAC address entries: 3
MAC state : AUTH
MAC address : 0010-9700-0001
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
Flush failure reason: : VSI doesn't exist
MAC state : DOT1X
MAC address : 0010-9700-0002
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
Flush failure reason : MAC addition failed(0x4001001)
MAC state : DOT1X
MAC address : 0010-9700-0004
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
表1-6 display port-security mac-address m-lag sync-from-peer命令显示信息描述表
字段 |
描述 |
Total MAC address entries |
从对端同步过来的MAC地址表项个数 |
MAC state |
MAC地址上线方式,取值包括: · DOT1X:通过802.1X认证上线 · AUTH:通过MAC地址认证或Web认证上线 |
MAC address |
接入用户的MAC地址 |
VLAN ID |
接入用户所属VLAN |
VSI name |
接入用户所属VSI。若用户不属于任何VSI,则显示为“N/A” |
Authorization microsegment ID |
接入用户的授权微分段ID |
Flush failure reason |
MAC地址表项下发失败的原因,取值包括: · VSI doesn't exist:VSI不存在 · MAC addition failed(error-code):MAC地址添加失败(error-code表示失败的错误码,十六进制显示) · MAC地址表项下发成功则不显示本字段 |
【相关命令】
· display port-security mac-address m-lag sync-to-peer
display port-security mac-address m-lag sync-to-peer命令用来显示端口安全M-LAG本端设备同步到对端的MAC地址表项信息。
【命令】
display port-security mac-address m-lag sync-to-peer [ interface interface-type interface-number | user-mac mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定端口上同步到对端的MAC地址表项信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有端口上同步到对端的MAC地址表项信息。
user-mac mac-address:显示同步到对端的指定MAC地址的表项信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有同步到对端的MAC地址的表项信息。
【使用指导】
M-LAG单挂组网中,本端用户认证成功并获得授权微分段上线后,本端用户的MAC地址表项将被自动同步到对端设备上。对端设备获得本端用户的微分段信息后,将对来自本端用户的访问流量执行其所属微分段对应的组策略,从而实现本端用户可以访问对端设备上的网络资源。
执行本命令可以在本端设备上查看同步到对端设备的本端用户MAC地址表项信息。
【举例】
# 显示M-LAG本端设备同步到对端的MAC地址表项信息。
<Sysname> display port-security mac-address m-lag sync-to-peer
Total MAC address entries: 1
MAC state : AUTH
MAC address : 0010-9700-0001
Access interface : Bridge-Aggregation1
VLAN ID : 3
VSI name : N/A
Authorization microsegment ID : 3
表1-7 display port-security mac-address m-lag sync-to-peer命令显示信息描述表
字段 |
描述 |
Total MAC address entries |
同步到对端的MAC地址表项个数 |
MAC state |
MAC地址上线方式,取值包括: · DOT1X:通过802.1X认证上线 · AUTH:通过MAC地址认证或Web认证上线 |
MAC address |
接入用户的MAC地址 |
Access interface |
用户的接入接口名称 |
VLAN ID |
接入用户所属VLAN |
VSI name |
接入用户所属VSI。若用户不属于任何VSI,则显示为“N/A” |
Authorization microsegment ID |
接入用户的授权微分段ID |
【相关命令】
· display port-security mac-address m-lag sync-from-peer
display port-security mac-address security命令用来显示安全MAC地址信息。
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的安全MAC地址个数。
【使用指导】
当端口工作于autoLearn模式时,端口上通过自动学习或者静态配置的安全MAC地址可通过该命令查看。
如果不指定任何参数,则显示所有安全MAC地址的信息。
【举例】
# 显示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
0002-0002-0002 1 Secure XGE3/0/1 Not aged
--- Number of secure MAC addresses: 1 ---
# 显示所有安全MAC地址计数。
<Sysname> display port-security mac-address security count
--- Number of secure MAC addresses: 1 ---
表1-8 display port-security mac-address security命令显示信息描述表
字段 |
描述 |
MAC ADDR |
安全MAC地址 |
VLAN ID |
端口所属VLAN |
STATE |
添加的MAC地址类型 · Secure:表示该项是安全MAC地址 |
Port INDEX |
安全MAC地址所在端口 |
AGING TIME |
安全MAC地址的剩余存活时间 · 对于静态MAC地址,显示为Not aged · 对于Sticky MAC地址,显示为具体的剩余存活时间,当存活时间小于60秒,显示单位为秒;当存活时间大于等于60秒时,显示单位为分钟。缺省情况下为不进行老化,显示为Not aged |
Number of secure MAC addresses |
当前保存的安全MAC地址数 |
【相关命令】
· port-security mac-address security
display port-security static-user命令用来显示静态用户的配置信息。
【命令】
display port-security static-user [ domain isp-name | interface interface-type interface-number | { ip | ipv6 } start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
domain isp-name:显示指定域下的静态用户信息。isp-name表示ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:显示指定接口下的静态用户配置信息。其中,interface-type表示接口类型,interface-number表示接口编号。
ip:显示指定IPv4地址的静态用户的配置信息。
ipv6:显示指定IPv6地址的静态用户的配置信息。
start-ip-address [ end-ip-address ]:显示指定IP地址范围的静态用户的配置信息。start-ip-address表示IP地址范围的起始地址,end-ip-address表示IP地址范围的结束地址。如果仅指定start-ip-address参数,而未指定end-ip-address参数,则表示静态用户的IP地址为start-ip-address。
vpn-instance vpn-instance-name:显示接入指定VPN实例的静态用户配置信息。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。
【使用指导】
如果不指定任何参数,则显示所有静态用户的配置信息。
【举例】
# 显示所有静态用户的配置信息。
<Sysname> display port-security static-user
Global Static-user parameters:
Static user IP update : Disabled
Offline detect timer : 300 seconds
ARP detect period : 200 seconds
ACL number for matching MAC addresses : 4000
Ten-GigabitEthernet3/0/1 is link-up
Static user max-user : 4294967295
Start IPv4 address : 10.1.1.6
End IPv4 address : 10.1.1.8
Interface : XGE3/0/1
MAC address : 00e0-fc12-3456
VPN instance : N/A
Domain name : local
VLAN ID : 10
ARP detection : Disabled
Keep online : Disabled
Start IPv6 address : 1:1::1:2
End IPv6 address : 1:1::1:4
Interface : XGE3/0/1
MAC address : 00e0-fc12-1234
VPN instance : N/A
Domain name : local
VLAN ID : 10
ARP detection : Disabled
Keep online : Disabled
表1-9 display port-security static-user命令显示信息描述表
字段 |
描述 |
Global static user parameters |
静态用户全局配置 |
Static user IP update |
设备更新静态用户IP地址的状态,取值包括: · Enabled:允许设备更新静态用户IP地址 · Disabled:禁止设备更新静态用户IP地址 |
Offline detect timer |
静态用户下线检测定时器的值,单位为秒 |
ARP detect period |
ARP探测定时器的值,单位为秒 |
ACL number for matching MAC addresses |
静态用户MAC地址匹配的ACL编号,如果未配置,则不显示本字段 |
Ten-GigabitEthernet3/0/1 is link-up |
接口Ten-GigabitEthernet3/0/1的链路状况 |
Static user max-user |
当前接口允许接入的最大静态用户数 |
Start IPv4 address |
静态用户IPv4地址范围的起始地址 |
End IPv4 address |
静态用户IPv4地址范围的结束地址,如果未配置,则显示为“N/A” |
Start IPv6 address |
静态用户IPv6地址范围的起始地址 |
End IPv6 address |
静态用户IPv6地址范围的结束地址,如果未配置,则显示为“N/A” |
Interface |
静态用户的上线接口,如果未配置,则显示为“N/A” |
MAC address |
静态用户的MAC地址,如果未配置,则显示为“N/A” |
VPN instance |
静态用户所属的VPN实例,如果未配置,则显示为“N/A” |
Domain name |
静态用户所属的ISP域,如果未配置,则显示为“N/A” |
VLAN ID |
静态用户所属的VLAN,如果未配置,则显示为“N/A” |
ARP detection |
ARP探测功能的开启状态,取值包括: · Enabled:打开 · Disabled:关闭 |
Keep online |
静态用户保持在线功能的开启状态,取值包括: · Enabled:打开 · Disabled:关闭 |
【相关命令】
· port-security static-user
display port-security static-user connection命令用来显示在线静态用户的信息。
【命令】
(独立运行模式)
display port-security static-user connection [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | slot slot-number | user-name user-name ] | { ip | ipv6 } ip-address | mac mac-address ]
(IRF模式)
display port-security static-user connection [ [ m-lag [ local | peer ] ] [ chassis chassis-number slot slot-number | interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | user-name user-name ] | { ip | ipv6 } ip-address | mac mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
m-lag [ local | peer ]:显示M-LAG组网中,M-LAG接口上端口安全在线用户的信息。如果不指定该参数,则显示设备上所有端口安全在线用户的信息。如果不指定local和peer参数,则显示本端M-LAG设备和对端M-LAG设备上端口安全在线用户的信息
· local:显示本端M-LAG设备上端口安全在线用户的信息。
· peer:显示对端M-LAG设备上端口安全在线用户的信息。
interface interface-type interface-number:显示指定接口下的静态用户信息。其中,interface-type表示接口类型。interface-number表示接口编号。
{ ip | ipv6 } ip-address:显示指定IP地址的在线静态用户信息。指定ip时,ip-address表示静态用户的IPv4地址;指定ipv6时,ip-address表示静态用户的IPv6地址。
mac mac-address:显示指定MAC地址的在线静态用户信息。其中,mac-address表示静态用户的MAC地址,格式为H-H-H。
online-type:显示指定类型的静态用户信息。
· auth-fail-domain:显示认证失败域内的静态用户信息。
· critical-domain:显示认证逃生域内的静态用户信息。
· preauth-domain:显示认证前域内的静态用户信息。
· success:显示认证成功的静态用户信息。
user-name name-string:显示指定用户名的在线静态用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。
slot slot-number:显示指定单板上的在线静态用户信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的在线静态用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的在线静态用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的在线静态用户信息。(IRF模式)
【使用指导】
如果未指定任何参数,则显示设备上所有在线静态用户的信息。
【举例】
# 显示设备上所有在线静态用户的信息。
<Sysname> display port-security static-user connection
Total connections: 2
User MAC address: 0015-e9a6-7cfe
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Ten-GigabitEthernet3/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
User MAC address: 0016-e9a6-7cfe
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Ten-GigabitEthernet3/0/2
Username: i1s
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
表1-10 display port-security static-user connection显示描述信息表
字段 |
描述 |
Total connections |
在线静态用户个数 |
User MAC address |
用户的MAC地址 |
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型: · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态: · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
Access interface |
用户的接入接口名称 |
Username |
用户名 |
User access state |
用户的接入状态: · Auth-Fail domain:接入用户处于认证失败域中 · Critical domain:接入用户处于认证逃生域中 · Preauth domain:接入用户处于认证前域中 · Successful:MAC地址认证成功并接入 |
IPv4 address |
用户的IPv4地址 |
IPv6 address |
用户的IPv6地址 |
Initial VLAN |
初始VLAN |
Authorization untagged VLAN |
授权的untagged VLAN |
Authorization tagged VLAN |
授权的tagged VLAN |
Authorization VSI |
授权的VSI |
Authorization microsegment ID |
授权的微分段ID |
Authorization ACL number/name |
授权的静态ACL的编号或名称。若未授权静态ACL,则显示为N/A 若未授权成功,则在ACL编号或名称后显示“(NOT effective)” |
Authorization dynamic ACL name |
授权的动态ACL的名称。若未授权动态ACL,则显示N/A 若未授权成功,则在ACL名称后显示“(NOT effective)” |
Authorization user profile |
授权用户的User profile名称 |
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为bps · Peak input rate:上行峰值速率,单位为bps · Average output rate:下行平均速率,单位为bps · Peak output rate:下行峰值速率,单位为bps · 若未授权成功,则显示为(NOT effective) · 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
Authorization URL |
授权的重定向URL |
Authorization IPv6 URL |
授权的IPv6重定向URL |
Authorization temporary redirect |
表示是否授权暂时重定向功能 · Enabled:授权了暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为302 · Disabled:未授权暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为200 |
Start accounting |
表示开始计费请求的结果: · Successful:开始计费成功 · Failed:开始计费失败 · 前域用户不支持计费,本字段显示为N/A |
Real-time accounting-update failures |
表示实时计费更新连续失败的次数 |
Termination action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · RADIUS-request:会话超时时间到达后,请求静态用户进行重认证 · 用户采用本地认证时,该字段显示为Default |
Session timeout period |
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
Offline detection |
用户进行下线检测的属性: · Ignore (command-configured):命令行配置该用户不进行下线检测 · timer (command-configured):命令行配置的下线检测时间 · Ignore (server-assigned):RADIUS服务器授权该用户不进行下线检测 · timer (server-assigned):RADIUS服务器授权的下线检测时间 |
Online from |
静态用户的上线时间 |
Online duration |
静态用户的在线时长 |
Port-down keep online |
端口状态变为Down后,用户继续保持在线功能: · Enabled:处于开启状态。服务器授权下发了取值非0的私有属性shutdown-keep-online · Disabled (offline):处于关闭状态,用户下线。服务器授权下发了取值为0的私有属性shutdown-keep-online,或者没有下发该属性 |
display port-security statistics命令用来显示端口安全的统计计数信息。
【命令】
(独立运行模式)
display port-security statistics [ slot slot-number ]
(IRF模式)
display port-security statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
slot slot-number:显示指定单板上端口安全的统计计数信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板端口安全的统计计数信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上端口安全的统计计数信息。(IRF模式)
【举例】
# 查看端口安全的统计计数信息。
<Sysname> display port-security statistics
Slot ID: 0
Entries received from IPCIM:
Entries notified to be added : 0
Entries notified to be deleted : 0
Entries actually added : 0
Entries actually deleted : 0
表1-11 display port-security statistics显示信息描述表
字段 |
描述 |
Slot ID |
单板所在槽位号 |
Entries received from IPCIM |
端口安全模块收到来自IPCIM(IP Client Information Management,IP用户信息管理)模块的表项数,取值包括: · Entries notified to be added:IPCIM通知端口安全添加的用户表项数 · Entries notified to be deleted:IPCIM通知端口安全删除的用户表项数 · Entries actually added:端口安全实际添加的用户表项数 · Entries actually deleted:端口安全实际删除的用户表项数 |
【相关命令】
· reset port-security statistics
port-security access-user log enable命令用来开启端口安全接入用户日志信息功能。
undo port-security access-user log enable命令用来关闭端口安全接入用户日志信息功能。
【命令】
port-security access-user log enable [ failed-authorization | mac-learning | violation | vlan-mac-limit ] *
undo port-security access-user log enable [ failed-authorization | mac-learning | violation | vlan-mac-limit ] *
【缺省情况】
端口安全接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
failed-authorization:802.1X或MAC地址认证用户授权失败时的日志信息。
mac-learning:端口自动学习到MAC地址时的日志信息。
violation:端口安全入侵检测功能被触发时的日志信息。
vlan-mac-limit:VLAN内同时接入的MAC地址数达到最大值后有新MAC地址用户接入时的日志信息。
【使用指导】
为了防止设备输出过多的端口安全接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应日志功能。
配置vlan-mac-limit参数后,只有当VLAN内的MAC地址数从未达到上限变为达到上限,且有新用户试图接入时才会触发日志。如果MAC地址数已达到上限,只有第1个新用户试图接入时才输出日志,后续用户试图接入时不会再次输出日志。
【举例】
# 开启端口安全入侵检测功能被触发时的日志信息。
<Sysname> system-view
[Sysname] port-security access-user log enable violation
【相关命令】
· info-center source portsec logfile deny(网络管理和监控/信息中心)
port-security authentication open命令用来开启端口上端口安全的开放认证模式。
undo port-security authentication open命令用来关闭端口上端口安全的开放认证模式。
【命令】
port-security authentication open
undo port-security authentication open
【缺省情况】
端口上的端口安全开放认证模式处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启端口上的端口安全开放认证模式后,端口上的802.1X、MAC地址认证用户即使身份信息不正确(包含不存在的用户名或者错误的密码两种情况)也可以正常接入并访问网络。在这种模式下接入的用户被称为open用户,此类用户不支持授权和计费,但可通过display dot1x connection open、display mac-authentication connection open命令查看相关信息。
端口上开启端口安全的开放认证模式后,身份信息正确的用户可正常上线,此类不属于open用户。
开放认证模式优先级低于802.1X的Auth-Fail VLAN和MAC地址认证的Guest VLAN,即如果端口上配置了802.1X的Auth-Fail VLAN或MAC地址认证的Guest VLAN,密码错误的接入用户会加入认证失败VLAN,开放认证模式不生效。
开放认证模式优先级低于802.1X的Auth-Fail VSI和MAC地址认证的Guest VSI,即如果端口上配置了802.1X的Auth-Fail VSI或MAC地址认证的Guest VSI,密码错误的接入用户会加入认证失败VSI,开放认证模式不生效。
有关802.1X、MAC地址认证的详细介绍,请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。
【举例】
# 开启端口Ten-GigabitEthernet3/0/1上的端口安全的开放认证模式。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security authentication open
【相关命令】
· display dot1x connection
· display mac-authentication connection
· port-security authentication open global
port-security authentication open global命令用来开启全局端口安全的开放认证模式。
undo port-security authentication open global命令用来关闭全局端口安全的开放认证模式。
【命令】
port-security authentication open global
undo port-security authentication open global
【缺省情况】
端口安全的开放认证模式处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启全局端口安全开放认证模式之后,802.1X、MAC地址认证用户即使身份信息不正确(包含不存在的用户名或者错误的密码两种情况)也可以正常接入并访问网络。在这种模式下接入的用户被称为open用户,此类用户不支持授权和计费,但可通过display dot1x connection open、display mac-authentication connection open命令查看相关信息。
全局开启端口安全的开放认证模式后,身份信息正确的用户可正常上线,此类不属于open用户。
开放认证模式优先级低于802.1X的Auth-Fail VLAN和MAC地址认证的Guest VLAN,即如果端口上配置了802.1X的Auth-Fail VLAN或MAC地址认证的Guest VLAN,密码错误的接入用户会加入认证失败VLAN,开放认证模式不生效。
开放认证模式优先级低于802.1X的Auth-Fail VSI和MAC地址认证的Guest VSI,即如果端口上配置了802.1X的Auth-Fail VSI或MAC地址认证的Guest VSI,密码错误的接入用户会加入认证失败VSI,开放认证模式不生效。
有关802.1X、MAC地址认证的详细介绍,请参见“安全”中的“802.1X”和“MAC地址认证”。
【举例】
# 开启全局端口安全的开放认证模式。
<Sysname> system-view
[Sysname] port-security authentication open global
【相关命令】
· display dot1x connection
· display mac-authentication connection
· port-security authentication open
port-security authentication-profile命令用来配置接口绑定端口安全认证模板。
undo port-security authentication-profile命令用来恢复缺省配置。
【命令】
port-security authentication-profile profile-name
undo port-security authentication-profile profile-name
【缺省情况】
接口未绑定端口安全认证模板。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:端口安全认证模板名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
接口绑定端口安全认证模板后,将使用端口安全认证模板下的配置对接入用户进行认证:
· 对于接口视图和端口安全认证模板视图下均支持配置的功能(命令行形式可能存在差异),无论当前端口安全认证模板下是否已配置,接口下的此类功能配置都会被立即删除。如需使用上述功能,请在接口绑定的端口安全认证模板视图下配置。
· 对于接口视图下支持但认证模板视图下不支持的配置,在接口下配置后仍会正常生效。
· 端口采用的认证方式由端口安全认证模板下绑定的接入模板类型(802.1X接入模板、MAC地址认证接入模板)决定。
绑定端口安全认证模板的接口仅支持采用基于MAC的认证方式完成认证,即除了绑定MAC地址认证接入模板外,当认证模板下绑定802.1X接入模板时,同样默认采用基于MAC的802.1X认证方式。
必须在系统视图下先通过port-security authentication-profile name命令创建端口安全认证模板,接口才能成功绑定该端口安全认证模板。
一个端口安全认证模板可以被不同接口绑定,但一个接口只能绑定一个端口安全认证模板,如需绑定其它端口安全认证模板,请先解除原有绑定。
建议同一接口上端口安全认证模板功能与基于端口的802.1X接入控制方式(执行dot1x port-method portbased命令)不要同时配置,否则可能造成认证功能异常。
【举例】
# 在端口Ten-GigabitEthernet3/0/1下绑定端口安全认证模板123。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security authentication-profile 123
【相关命令】
· display port-security authentication-profile
port-security authentication-profile name命令用来创建端口安全认证模板并进入认证模板视图。如果认证模板已创建,则直接进入认证模板视图。
undo port-security authentication-profile name命令用来删除端口安全认证模板。
【命令】
port-security authentication-profile name profile-name
undo port-security authentication-profile name profile-name
【缺省情况】
未创建端口安全认证模板。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:端口安全认证模板名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
为了实现用户快速完成端口安全认证配置,设备使用端口安全认证模板统一管理接入认证的配置信息。通过在认证模板下绑定802.1X和MAC地址认证接入模板、配置认证顺序等,满足用户基本的接入控制需求。
当接口上绑定的认证模板已经生效,删除已引用的认证模板会导致在线用户异常掉线。
【举例】
# 创建名称为aaa的端口安全认证模板,并进入该认证模板视图。
<Sysname> system-view
[Sysname] port-security authentication-profile name aaa
[Sysname-portsec-auth-prof-aaa]
【相关命令】
· display port-security authentication-profile
port-security authorization ignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息。
undo port-security authorization ignore命令用来恢复缺省情况。
【命令】
port-security authorization ignore
undo port-security authorization ignore
【缺省情况】
端口应用RADIUS服务器或设备本地下发的授权信息。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户账号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的属性,则可通过配置本命令来忽略。
对于通过802.1X或MAC地址认证的用户,配置本命令后只会忽略除Termination-Action和Session-Timeout之外的其它授权属性;对于通过Web认证的用户,配置本命令后会忽略所有下发的授权属性。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1不应用RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security authorization ignore
【相关命令】
· display port-security
port-security authorization-fail offline命令用来开启授权失败用户下线功能。
undo port-security authorization-fail offline命令用来关闭授权失败用户下线功能。
【命令】
port-security authorization-fail offline [ quiet-period ]
undo port-security authorization-fail offline
【缺省情况】
授权失败用户下线功能处于关闭状态,即授权失败后用户保持在线。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
quiet-period:表示开启用户授权失败下线静默功能。802.1X认证或MAC地址认证用户下线后,设备将其加入对应认证类型的静默队列,并根据对应认证类型的静默定时器的值来确定用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃;静默期后,设备再次收到该用户的报文,则对其进行认证处理。若不指定此参数,用户授权下线后,设备再次收到该用户的报文就对其进行认证处理。
【使用指导】
如果配置为授权失败用户下线,当下发的授权ACL不存在或者ACL下发失败时,将强制用户下线。
如果配置为授权失败用户保持在线,当下发的授权ACL不存在或者ACL下发失败时,用户保持在线,授权ACL不生效,设备打印日志信息。
若开启本功能时指定了quiet-period参数则需要先完成如下配置:
· 对于802.1X用户,通过dot1x quiet-period命令开启802.1X认证静默定时器功能,并通过dot1x timer quiet-period命令设置静默定时器的值。
· 对于MAC地址认证用户,通过mac-authentication timer quiet命令配置MAC地址认证静默定时器的值。
【举例】
# 开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] port-security authorization-fail offline
【相关命令】
· display port-security
· dot1x quiet-period(安全命令参考/802.1X)
· dot1x timer quiet-period(安全命令参考/802.1X)
· mac-authentication timer(安全命令参考/MAC地址认证)
port-security auth-order命令用来配置端口安全认证顺序。
undo port-security auth-order命令用来恢复缺省配置。
【命令】
port-security auth-order { dot1x-mac [ parallel ] | mac-dot1x [ multiple ] }
undo port-security auth-order
【缺省情况】
端口收到源MAC地址未知的报文后,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
【视图】
端口安全认证模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dot1x-mac:端口完成802.1X认证后再进行MAC地址认证。
parallel:开启端口MAC地址认证和802.1X认证并行处理功能,即802.1X认证和MAC地址认证可以同步进行,任一认证成功后即可上线。如果未指定本参数,则用户完成802.1X认证后才能进行MAC地址认证。
mac-dot1x:端口完成MAC地址认证后再进行802.1X认证。
multiple:开启端口多步认证功能,即用户只有通过MAC地址认证成功后才能进行802.1X认证,且二者均认证成功后才能上线。如果未指定本参数,则用户通过任一方式认证成功后即可上线。
【使用指导】
端口采用802.1X和MAC地址组合认证功能时,用户可以根据需要自行配置端口的接入认证顺序。
· dot1x-mac认证顺序下,如果想要端口加入到802.1X Guest VLAN或Guest VSI之前进行MAC地址认证并下发授权VLAN或授权VSI,可以通过port-security auth-order dot1x-mac parallel开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI配置命令的详细介绍,请参见“安全命令参考”中的“802.1X”。
· mac-dot1x认证顺序下,如果希望接入用户只有在MAC地址认证和802.1X认证均认证成功后才能上线,可以通过port-security auth-order mac-dot1x multiple开启端口多步认证功能。
端口采用802.1X和MAC地址组合认证功能时,必须先同时开启802.1X和MAC地址认证功能,并配置802.1X认证端口的接入控制方式为macbased。
通过配置port-security auth-order命令修改端口的接入认证顺序后,将导致正在认证的用户认证失败,用户需要重新触发认证才能上线。为了避免造成认证用户无法上线,请勿随意配置本功能修改认证方式顺序。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
【举例】
# 在安全认证模板123上开启MAC地址认证和802.1X认证多步认证功能。
<Sysname> system-view
[Sysname] port-security authentication-profile 123
[Sysname-portsec-auth-profile-123] port-security auth-order mac-dot1x multiple
【相关命令】
· mac-authentication parallel-with-dot1x
· port-security triple-auth-order mac-dot1x-web
· port-security port-mode mac-and-userlogin-secure-ext
port-security enable命令用来使能端口安全。
undo port-security enable命令用来关闭端口安全。
【命令】
port-security enable
undo port-security enable
【缺省情况】
端口安全功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
如果已全局开启了802.1X或MAC地址认证,则无法使能端口安全。
执行使能或关闭端口安全的命令后,端口上的相关配置将会恢复为如下情况:
· 802.1X端口接入控制方式恢复为macbased;
· 802.1X端口的授权状态恢复为auto。
端口上有用户在线的情况下,若关闭端口安全,则在线用户将会下线。
【举例】
# 使能端口安全。
<Sysname> system-view
[Sysname] port-security enable
【相关命令】
· display port-security
· dot1x(安全命令参考/802.1X)
· dot1x port-control(安全命令参考/802.1X)
· dot1x port-method(安全命令参考/802.1X)
· mac-authentication(安全命令参考/MAC地址认证)
port-security escape critical-vsi命令用来开启端口上的端口安全逃生到Critical VSI功能。
undo port-security escape critical-vsi命令用来关闭端口上的端口安全逃生到Critical VSI功能。
【命令】
port-security escape critical-vsi
undo port-security escape critical-vsi
【缺省情况】
端口上的端口安全逃生到Critical VSI功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
要实现端口安全逃生到Critical VSI的功能,端口上需要配置对应的802.1X Critical VSI或MAC地址认证Critical VSI,否则逃生无法生效,802.1X用户或MAC地址认证用户不能访问任何VXLAN中的资源。关于802.1X Critical VSI和MAC地址认证Critical VSI的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。
在指定端口上配置端口逃生到Critical VSI时,请保证该端口上没有Web认证、802.1X Guest VLAN、Auth-Fail VLAN、Critical VLAN或MAC地址认证的Guest VLAN、Critical VLAN的配置,否则端口逃生VSI无法成功配置。
在VXLAN网络中,当802.1X或MAC地址认证接入用户采用RADIUS远程认证/授权方式,且RADIUS服务器异常(服务器可达但认证/授权失败)时,可开启端口安全逃生到Critical VSI功能。
开启端口上的端口安全逃生到Critical VSI功能后:
· 设备本端口上新上线的802.1X和MAC地址认证用户将无需认证,直接被自动授权访问端口上的802.1X Critical VSI或MAC地址认证Critical VSI关联的VXLAN;已在线的用户不受影响。
· 如果同时配置了MAC地址认证的强制端口上授权了重定向URL的MAC地址认证用户下线功能(通过mac-authentication critical vsi critical-vsi-name url-user-logoff命令,详细配置请参见“安全配置指导”中的“MAC地址认证”),所有端口上被授权了重定向URL的MAC地址认证用户将被强制下线。
如下情况中的新上线的802.1X或MAC地址认证用户不支持逃生:
· 802.1X客户端采用的认证类型(EAP中继或EAP终结)与设备配置不一致;
· 802.1X用户的MAC地址不在端口绑定的MAC地址绑定表项中;
· 用户MAC地址为全0、全F(广播MAC)和组播MAC。
关闭端口上的端口安全逃生到Critical VSI功能后:
· 若全局端口安全逃生到Critical VSI功能开启,则通过该端口接入的Critical VSI内的用户不会被删除。
· 若全局端口安全逃生到Critical VSI功能未开启,则通过该端口接入的Critical VSI内的用户将会被删除,用户再上线时为正常的认证流程。
【举例】
# 在端口Ten-GigabitEthernet3/0/1上开启端口安全逃生到Critical VSI功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security escape critical-vsi
Please make sure the port is configured with the 802.1X and MAC authentication critical VSIs. Continue? [Y/N]:y
【相关命令】
· dot1x critical vsi(安全命令参考/802.1X)
· mac-authentication guest-vsi(安全命令参考/MAC地址认证)
· port-security global escape critical-vsi
· vsi(VXLAN命令参考/VXLAN)
port-security global escape critical-vsi命令用来开启全局的端口安全逃生到Critical VSI功能。
undo port-security global escape critical-vsi命令用来关闭全局配置的端口安全逃生到Critical VSI功能。
【命令】
port-security global escape critical-vsi
undo port-security global escape critical-vsi
【缺省情况】
全局端口安全逃生到Critical VSI功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
要实现端口安全逃生到Critical VSI的功能,端口上需要配置对应的802.1X Critical VSI或MAC地址认证Critical VSI,否则逃生无法生效,802.1X用户或MAC地址认证用户不能访问任何VXLAN中的资源。
配置全局逃生到Critical VSI时,请保证设备各端口上没有Web认证、802.1X Guest VLAN、Auth-Fail VLAN、Critical VLAN或MAC地址认证的Guest VLAN、Critical VLAN的配置,否则该端口的逃生功能无法正常使用。
在VXLAN网络中,当802.1X或MAC地址认证接入用户采用RADIUS远程认证/授权方式,且RADIUS服务器异常(服务器可达但认证/授权失败)时,可开启全局端口安全逃生到Critical VSI功能。
开启全局的端口安全逃生到Critical VSI功能后:
· 设备所有端口上新上线的802.1X和MAC地址认证用户将无需认证,直接被自动授权访问对应端口上的802.1X Critical VSI或MAC地址认证Critical VSI关联的VXLAN;已在线的用户不受影响。
· 所有端口上被授权了重定向URL的MAC地址认证用户将被强制下线。
如下情况中的新上线的802.1X或MAC地址认证用户不支持逃生:
· 802.1X客户端采用的认证类型(EAP中继或EAP终结)与设备配置不一致;
· 802.1X用户的MAC地址不在端口绑定的MAC地址绑定表项中;
· 用户MAC地址为全0、全F(广播MAC)和组播MAC。
关闭全局的端口安全逃生到Critical VSI功能后:
· 若端口上逃生到Critical VSI功能开启,则通过该端口接入的Critical VSI内的用户不会被删除。
· 若端口上逃生到Critical VSI功能未开启,则通过该端口接入的Critical VSI内的用户将会被删除,用户再上线时为正常的认证流程。
【举例】
# 开启全局端口安全逃生到Critical VSI功能。
<Sysname> system-view
[Sysname] port-security global escape critical-vsi
Please make sure critical VSI settings exist. Continue? [Y/N]:y
【相关命令】
· dot1x critical vsi(安全命令参考/802.1X)
· mac-authentication guest-vsi(安全命令参考/MAC地址认证)
· port-security escape critical-vsi
· vsi(VXLAN命令参考/VXLAN)
port-security intrusion-mode命令用来配置入侵检测特性,对接收到非法报文的端口采取相应的安全策略。
undo port-security intrusion-mode命令用来恢复缺省情况。
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【缺省情况】
对接收到非法报文的端口不进行入侵检测处理。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞一段时间后恢复正常。阻塞时长可通过port-security timer blockmac命令配置。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。
disableport:表示将收到非法报文的端口永久关闭。
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
【使用指导】
可以通过执行undo shutdown命令重新开启被入侵检测特性临时或永久断开的端口。
当端口上开启了严格入侵检测功能时,不能将入侵检测特性模式修改为blockmac。如需在已开启严格入侵检测功能的端口上修改入侵检测特性模式为blockmac,请先执行undo port-security strict-intrusion-protection enable命令关闭严格入侵检测功能。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1的入侵检测特性检测到非法报文后,将非法报文的源MAC地址置为阻塞MAC。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security intrusion-mode blockmac
【相关命令】
· display port-security
· display port-security mac-address block
· port-security strict-intrusion-protection enable
· port-security timer blockmac
· port-security timer disableport
port-security link-down action命令用来配置接入端口DOWN时对在线用户的处理措施。
undo port-security link-down action命令用来恢复缺省情况。
【命令】
port-security link-down action { keep-online | offline-delay delay-value }
undo port-security link-down action
【缺省情况】
接入端口DOWN时在线用户会立即下线。
【视图】
端口安全认证模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keep-online:接入端口DOWN时用户保持在线状态。
offline-delay delay-value:接入端口DOWN时在线用户延迟下线。delay-value表示用户下线的延迟时间,取值范围是0~60,单位为秒。
【使用指导】
缺省情况下,接入端口由UP变DOWN时在线用户会立即下线,端口UP后用户需要重新认证上线。为了避免端口频繁震荡时用户需要反复重新认证上线,可以根据需要对在线用户配置如下两种处理措施:
· keep-online:接入端口DOWN时在线用户始终保持在线,接入端口UP后无需重新认证。
· offline-delay:接入端口DOWN时在线用户延迟下线。
¡ 在延迟时间内,用户保持在线状态,端口由DOWN变UP无需重新认证。
¡ 到达延迟时间后,若端口仍为DOWN,则在线用户下线。端口UP后,该用户需要重新认证上线。
本命令仅在链路异常导致端口自动DOWN的情况下生效,对手动执行shutdown命令导致端口DOWN的情况不生效。
本命令仅在接入端口UP时配置才能生效,接入端口DOWN后,执行本命令修改或删除配置均不生效。
【举例】
# 配置接入端口DOWN时在线用户下线的延迟时间为5s。
<Sysname> system-view
[Sysname] port-security authentication-profile name abc
Port security authentication profile created.
[Sysname-portsec-auth-prof-abc] port-security link-down action offline-delay 5
【相关命令】
· port-security authentication-profile name
port-security m-lag load-sharing-mode命令用来配置M-LAG组网中M-LAG接口上用户认证的负载分担模式。
undo port-security m-lag load-sharing-mode命令用来恢复缺省情况。
【命令】
port-security m-lag load-sharing-mode { centralized | distributed { even-mac | local | odd-mac } }
undo port-security m-lag load-sharing-mode
【缺省情况】
M-LAG接口上用户认证的负载分担模式为集中处理模式。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
centralized:集中处理模式,本端和对端M-LAG接口上送的用户报文都集中到M-LAG主设备处理。
distributed { even-mac | local | odd-mac }:分布处理模式及分布规则,M-LAG接口上的用户报文根据分布规则分布到两台M-LAG设备上处理。
even-mac:分布处理偶MAC用户,本端和对端M-LAG接口上送的源MAC地址为偶数的用户报文在本端M-LAG设备处理。
local:分布处理本地上送用户,本端M-LAG接口上送的用户报文在本端M-LAG设备处理。
odd-mac:分布处理奇MAC用户,本端和对端M-LAG接口上送的源MAC地址为奇数的用户报文在本端M-LAG设备处理。
【使用指导】
本命令仅对802.1X、MAC地址认证和Web认证用户生效。
在M-LAG组网中,配置M-LAG接口上用户认证的负载分担模式后,若用户在本端M-LAG设备上通过认证,需要将用户数据同步发送到对端M-LAG设备进行备份。当一端M-LAG设备发生故障时,对端M-LAG设备可以使用备份的用户数据接替处理业务,从而保证用户业务的正常运行。
为保证所有M-LAG接口上送的用户报文都有M-LAG设备处理,且同一用户的报文同时只在一台M-LAG设备上处理,可以按如下方式配置两台M-LAG设备上用户认证的负载分担模式:
· 两台M-LAG设备都配置集中处理模式。
· 两台M-LAG设备都配置分布处理模式且分布规则为local。
· 两台M-LAG设备都配置分布处理模式且其中一台M-LAG设备配置分布规则为odd-mac,另一台M-LAG设备配置分布规则为even-mac。
M-LAG场景下,两台M-LAG设备通过交换各自的配置信息,检查配置是否冲突,检查过程不影响M-LAG设备转发报文。若配置冲突,将不允许新用户上线。
为防止配置冲突导致用户下线,请勿在端口安全、802.1X、MAC地址认证或Web认证使能的情况下,修改M-LAG接口上用户认证的负载分担模式配置。
当指定M-LAG接口上用户认证的负载分担模式为local时,必须保证与M-LAG接口相连的接入设备上,配置的聚合负载分担类型为按报文的目的IP地址进行聚合负载分担、按报文的目的MAC地址进行聚合负载分担、按报文的源IP地址进行聚合负载分担或按报文的源MAC地址进行聚合负载分担,否则会导致用户数据处理异常。
对于802.1X认证场景,还必须保证与M-LAG接口相连的接入设备上配置缺省聚合负载分担时忽略除报文的源MAC地址之外的其它字段。
集中处理模式下,如果M-LAG接口单边接入,即当前M-LAG系统中仅一台M-LAG设备配置了M-LAG接口且由该M-LAG接口转发流量,则端口安全不允许用户从该M-LAG口上线。因此,在M-LAG接口单边接入的情况下,为了保证用户能够正常上线,请不要配置集中处理模式。
关于M-LAG的详细介绍请参见“二层技术-以太网交换配置指导”中的“M-LAG”;关于聚合负载分担的详细介绍请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
【举例】
# 配置M-LAG接口上用户认证的负载分担模式为分布处理本地上送用户。
<Sysname> system-view
[Sysname] port-security m-lag load-sharing-mode distributed local
Changing the load sharing mode will log off all online users on M-LAG interfaces. Continue? [Y/N]:y
[Sysname]
【相关命令】
· display port-security
· link-aggregation global load-sharing mode(二层技术-以太网交换命令参考/以太网链路聚合)
· link-aggregation load-sharing ignore(二层技术-以太网交换命令参考/以太网链路聚合)
port-security mac-address aging-type inactivity命令用来配置安全MAC地址的老化方式为无流量老化。
undo port-security mac-address aging-type inactivity命令用来恢复缺省情况。
【命令】
port-security mac-address aging-type inactivity
undo port-security mac-address aging-type inactivity
【缺省情况】
安全MAC地址按照配置的老化时间进行老化,即在安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
无流量老化方式下,设备会定期检测端口上的安全MAC地址是否有流量产生,若某安全MAC地址在一定的老化检测周期内没有任何流量产生,则将会被老化,否则该安全MAC地址不会被老化,并在下一个老化检测周期内重复该检测过程。下一个周期内若还有流量产生则继续保持该安全MAC地址的学习状态,该方式可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化时间到达之后占用端口资源。
在二层以太网接口上,老化检测机制由port-security timer autolearn aging命令配置的安全MAC地址老化时间决定:
· 如果配置的老化时间大于等于60秒,则老化检测周期为30秒。若某安全MAC地址在N个连续的老化检测周期内无流量产生,则将会被老化。N为老化时间以半分钟向上取整。例如,安全MAC地址老化时间为80秒,则N为3。
· 如果配置的老化时间小于60秒,则老化检测周期就等于老化时间。若某安全MAC地址在老化检测周期内无流量产生,则将会被老化。
在二层聚合接口上,老化检测机制由port-security timer autolearn aging命令配置的安全MAC地址老化时间和补偿时间共同决定:
· 如果配置的老化时间大于等于60秒,则老化检测周期为30秒。若某安全MAC地址在N个连续的老化检测周期+“补偿时长”内无流量产生,则才会被老化。其中,补偿时长为固定的90秒,用于提高对二层聚合成员端口上安全MAC地址流量检测的准确度;N为老化时间以半分钟向上取整。
例如,安全MAC地址老化时间为80秒,则N为3。那么当该安全MAC地址在(3*30+90)180秒内无流量产生时,才会被老化;否则,进入下一个检测周期,且后续不再增加补偿时长。
· 如果配置的老化时间小于60秒,则老化检测周期就等于老化时间。若某安全MAC地址在老化检测周期内无流量产生,则将会被老化。
需要注意的是,配置了安全MAC地址为无流量老化之后,由于补偿机制的存在,第一轮检测过程中,二层聚合接口上的安全MAC地址的实际存活时间会包含补偿时长。
此命令仅对于Sticky MAC地址以及动态类型的安全MAC地址有效。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1的安全MAC地址的老化方式为无流量老化。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security mac-address aging-type inactivity
【相关命令】
· display port-security
port-security mac-address dynamic命令用来将Sticky MAC地址设置为动态类型的安全MAC地址。
undo port-security mac-address dynamic命令用来恢复缺省情况。
【命令】
port-security mac-address dynamic
undo port-security mac-address dynamic
【缺省情况】
端口学习到的是Sticky类型的安全MAC,它能够被保存在配置文件中,设备重启后也不会丢失。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
动态类型的安全MAC地址不会被保存在配置文件中,可通过执行display port-security mac-address security命令查看到,设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下,可将其设置为动态类型的安全MAC地址。
本命令成功执行后,指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址,且将不能手工添加Sticky MAC地址。之后,若成功执行对应的undo命令,该端口上的动态类型的安全MAC地址会立即转换为Sticky MAC地址,且用户可以手工添加Sticky MAC地址。
【举例】
# 将端口Ten-GigabitEthernet3/0/1上的Sticky MAC地址设置为动态类型的安全MAC地址。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security mac-address dynamic
【相关命令】
· display port-security
· display port-security mac-address security
port-security mac-address security命令用来添加安全MAC地址。
undo port-security mac-address security命令用来删除指定的安全MAC地址。
【命令】
在二层以太网接口/二层聚合接口视图下:
port-security mac-address security [ sticky ] mac-address vlan vlan-id
undo port-security mac-address security [ sticky ] mac-address vlan vlan-id
在系统视图下:
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【缺省情况】
未配置安全MAC地址。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
sticky:表示要添加一个可老化的安全MAC地址(Sticky MAC地址)。若不指定本参数,则表示添加的是一个不老化的静态安全MAC地址。
mac-address:安全MAC地址,格式为H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的接口。其中,interface-type interface-number表示接口类型和接口编号。
vlan vlan-id:指定安全MAC地址所属的VLAN。其中,vlan-id表示VLAN编号,取值范围为1~4094。
【使用指导】
Sticky MAC地址的老化时间可通过port-security timer autolearn aging命令配置。当Sticky MAC地址的老化时间到达时,Sticky MAC地址即被删除。
手工配置添加的安全MAC地址在保存配置并设备重启后,不会被删除。因此,可以将网络中一些已知的、固定要接入某端口的主机或设备的MAC地址添加为安全MAC地址,这样在端口处于autoLearn安全模式时,此类源MAC地址为安全MAC地址的主机或设备的报文将被允许通过指定端口,而且还可避免与其它通过自动方式学习到端口上的MAC地址的报文争夺资源而被拒绝接收。
成功添加安全MAC地址的前提为:端口安全处于开启状态;端口的端口安全模式为autoLearn;当前的端口允许指定的VLAN通过或已加入该VLAN,且该VLAN已存在。
已添加的安全MAC地址,除非首先将其删除,否则不能重复添加或者修改其地址类型,例如已经在某端口上添加了一条安全MAC地址port-security mac-address security 1-1-1 vlan 10,则不能再添加一条安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。
所有的静态安全MAC地址均不老化,除非被管理员通过命令行手工删除,或因为配置的改变(端口的安全模式被改变,或端口安全功能被关闭)而被系统自动删除。
【举例】
# 使能端口安全,配置端口Ten-GigabitEthernet3/0/1的安全模式为autoLearn,并指定端口安全允许的最大MAC地址数为100。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security max-mac-count 100
[Sysname-Ten-GigabitEthernet3/0/1] port-security port-mode autolearn
# 为该端口添加一条Sticky MAC地址0001-0002-0003,该安全MAC地址属于VLAN 4。
[Sysname-Ten-GigabitEthernet3/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4
[Sysname-Ten-GigabitEthernet3/0/1] quit
# 在系统视图下为端口Ten-GigabitEthernet3/0/1添加一条安全MAC地址0001-0001-0002,该安全MAC地址属于VLAN 10。
[Sysname] port-security mac-address security 0001-0001-0002 interface ten-gigabitethernet 3/0/1 vlan 10
【相关命令】
· display port-security
· port-security timer autolearn aging
port-security mac-limit命令用来设置端口上指定VLAN内端口安全功能允许同时接入的最大MAC地址数。
undo port-security mac-limit命令用来恢复缺省情况。
【命令】
port-security mac-limit max-number per-vlan vlan-id-list
undo port-security mac-limit max-number per-vlan vlan-id-list
【缺省情况】
不限制端口上端口安全功能允许同时接入的最大MAC地址数。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-number:端口上端口安全功能允许同时接入的MAC地址数的最大值,取值范围为1~2147483647。
per-vlan vlan-id-list:指定VLAN列表内每个VLAN内允许同时接入的MAC地址数的最大值。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。
【使用指导】
端口上端口安全功能允许接入的MAC地址包括:
· 端口上MAC地址认证成功用户的MAC地址;MAC地址认证Guest VLAN、Critical VLAN中用户的MAC地址;MAC地址认证Guest VSI和Critical VSI中的用户的MAC地址;MAC地址认证Critical微分段中的用户的MAC地址。
· 802.1X认证成功用户的MAC地址;802.1X认证Guest VLAN、Auth-Fail VLAN、Critical VLAN中用户的MAC地址;802.1X认证Guest VSI、Auth-Fail VSI、Critical VSI中用户的MAC地址。
· Web认证成功用户的MAC地址,Web认证Auth-Fail VLAN中用户的MAC地址。
由于系统资源有限,如果当前端口上允许接入的MAC地址数过多,接入MAC地址之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当指定VLAN内,端口允许接入的MAC地址数超过最大值后,该VLAN内新接入的MAC地址将被拒绝。
通过本命令配置端口上指定VLAN内端口安全功能允许同时接入的最大MAC地址数,不能小于当前端口上相应VLAN已存在的MAC地址数;否则,本次配置不生效。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1上,VLAN 1、VLAN 5和VLAN 10~VLAN 20上每个VLAN最多允许同时接入32个MAC地址认证或802.1X认证用户。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security mac-limit 32 per-vlan 1 5 10 to 20
【相关命令】
· display mac-authentication
· display dot1x
port-security mac-move bypass-vlan-check命令用来开启MAC迁移时不检查VLAN功能。
undo port-security mac-move bypass-vlan-check命令用来恢复缺省情况。
【命令】
port-security mac-move bypass-vlan-check
undo port-security mac-move bypass-vlan-check
【缺省情况】
MAC迁移时不检查VLAN功能处于关闭状态,即当上线用户通过MAC迁移方式在本端口进行认证时,设备会检查用户所在VLAN是否包含在本端口所允许通过的VLAN中。
【视图】
二层以太网接口视图
端口安全认证模板视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
如果设备开启了MAC迁移功能,且用户上线的端口配置了MAC VLAN,则建议在MAC迁移的目的端口开启本功能。
端口开启MAC VLAN功能后,若用户上线成功并授权了VLAN,则当用户通过MAC迁移方式在其它端口上线时,用户发送的802.1X或MAC地址认证报文中会携带初始认证端口授权的VLAN信息。此时新端口会对用户认证的报文中携带的VLAN信息进行检查,如果用户所在VLAN不在新端口允许通过的VLAN范围内,则不允许用户进行MAC迁移。执行port-security mac-move bypass-vlan-check命令后,新端口不对用户认证的报文中携带的VLAN信息进行检查,不论用户所在VLAN是否在端口允许通过的VLAN范围内,都允许用户进行MAC迁移。
当在Trunk类型端口下开启MAC迁移时不检查VLAN功能,并对用户进行802.1X认证时,需要执行dot1x eapol untag命令配置端口发送802.1X协议报文不携带VLAN Tag功能。
【举例】
# 在端口Ten-GigabitEthernet3/0/1下开启MAC迁移时不检查VLAN功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security mac-move bypass-vlan-check
【相关命令】
· display port-security
· dot1x eapol untag(安全命令参考/802.1X)
· port-security mac-move permit
port-security mac-move overwrite-local命令用来配置MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项。
undo port-security mac-move overwrite-local命令用来配置MAC迁移后,不允许同步的远端MAC表项覆盖本端的原MAC表项。
【命令】
port-security mac-move overwrite-local
undo port-security mac-move overwrite-local
【缺省情况】
缺省情况下,MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
EVPN或M-LAG等组网环境中,当端口安全认证用户在本端设备下线后从远端设备重新认证上线时,如果本端设备上的用户认证MAC表项未老化,则此时通过隧道或peer-link链路从远端设备同步过来的同一认证用户的MAC表项无法覆盖原认证MAC表项,导致本端设备上保存的认证用户的MAC表项异常,无法正常转发用户报文。
开启本功能后,认证MAC从本端设备迁移到远端设备后,远端同步过来的认证MAC表项将能够覆盖本端设备上未老化的原认证MAC表项,从而保证认证用户的报文收发正常。
【举例】
# 配置MAC迁移后,允许同步的远端MAC表项覆盖本端的原MAC表项。
<Sysname> system-view
[Sysname] port-security mac-move overwrite-local
【相关命令】
· display port-security
port-security mac-move permit命令用来开启允许MAC迁移功能。
undo port-security mac-move permit命令用来关闭允许MAC迁移功能。
【命令】
port-security mac-move permit [ port | vlan ]
undo port-security mac-move permit
【缺省情况】
允许MAC迁移功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port:表示允许用户进行端口迁移。
vlan:表示允许用户进行VLAN迁移。
【使用指导】
允许MAC迁移功能是指,允许在线的802.1X用户、MAC地址认证用户或Web认证用户迁移到设备的其它端口上或迁移到同一端口下的其它VLAN(指不同于上一次发起认证时所在的VLAN)接入后可以重新认证上线。
迁移到其它端口上接入的功能对系统中的所有802.1X认证用户和MAC地址认证用户生效:
· MAC迁移功能处于关闭状态时,如果用户从某一端口上线成功,则该用户在未从当前端口下线的情况下无法在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证,也无法上线。
· MAC迁移功能处于开启状态时,如果用户从某一端口上线成功,则允许该在线用户在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证。如果该用户在后接入的端口上认证成功,则当前端口会将该用户立即进行下线处理(不论用户在当前端口上通过哪种方式进行认证),保证该用户仅在一个端口上处于上线状态。
迁移到同一端口下其它VLAN接入的功能只在用户报文携带VLAN Tag的情况下生效:
· MAC迁移功能处于关闭状态时,在用户报文携带VLAN Tag的情况下,如果用户从端口下的某个VLAN上线成功,则当该用户迁移到同一端口下的其它VLAN内发起认证时,用户认证失败。
· MAC迁移功能处于开启状态时,在用户报文携带VLAN Tag的情况下,如果用户从端口下的某个VLAN上线成功,则当该用户迁移到同一端口下的其它VLAN内发起认证时,用户认证成功,并且端口会对迁移前的在线用户立即进行下线处理,保证该用户仅在一个VLAN上处于上线状态。
如果用户进行MAC地址迁移前,服务器在线用户数已达到上限,则用户MAC地址迁移不成功。
对于迁移到同一端口下的其它VLAN内接入的用户,MAC地址认证的多VLAN模式优先级高于MAC迁移功能。当开启端口的多VLAN模式(通过mac-authentication host-mode multi-vlan命令)后,设备直接允许用户在新的VLAN通过,无需再次认证。
如果不指定任何参数,则表示同时开启端口迁移和VLAN迁移功能。
【举例】
# 开启允许MAC迁移功能。
<Sysname> system-view
[Sysname] port-security mac-move permit
【相关命令】
· display port-security
· mac-authentication host-mode(安全命令参考/MAC地址认证)
port-security max-mac-count命令用来设置端口安全允许的最大安全MAC地址数。
undo port-security max-mac-count命令用来恢复缺省情况。
【命令】
port-security max-mac-count max-count [ vlan [ vlan-id-list ] ]
undo port-security max-mac-count [ vlan [ vlan-id-list ] ]
【缺省情况】
端口安全不限制本端口可保存的最大安全MAC地址数。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-count:端口允许的最大安全MAC地址数,取值范围为1~2147483647。端口安全允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数。
vlan [ vlan-id-list ]:指定端口所属VLAN。vlan-id-list是VLAN列表,表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,&<1-10>表示前面的参数最多可以重复输入10次。vlan-id2的值必须大于或等于vlan-id1的值。若不指定vlan参数,则表示限制当前端口上允许的最大安全MAC地址数。若不指定vlan-id-list,则表示限制当前端口上每个VLAN内允许通过的最大安全MAC地址数。
【使用指导】
对于autoLearn安全模式,端口允许的最大安全MAC地址数由本命令配置,包括端口上学习到的以及手工配置的安全MAC地址数;对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大安全MAC地址数为配置的端口安全允许的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
当端口工作于autoLearn模式时,无法更改端口安全允许的最大安全MAC地址数。
vlan [ vlan-id-list ]参数配置仅对端口安全的autolearn模式生效。
端口允许的VLAN内最大安全MAC地址数不能小于当前VLAN内已保存的MAC地址数。
对于端口上的同一VLAN,后配置的最大安全MAC地址数覆盖前面配置的最大安全MAC地址数。
【举例】
# 在端口Ten-GigabitEthernet3/0/1上配置端口安全允许的最大安全MAC地址数为100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security max-mac-count 100
【相关命令】
· display port-security
port-security nas-id-profile命令用来指定全局/端口引用的NAS-ID Profile。
undo port-security nas-id-profile命令用来恢复缺省情况。
【命令】
port-security nas-id-profile profile-name
undo port-security nas-id-profile
【缺省情况】
未指定引用的NAS-ID Profile。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
NAS-ID Profile可以在系统视图下或者接口视图下进行配置引用,接口上的配置优先,若接口上没有配置,则使用系统视图下的全局配置。
如果指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。
【举例】
# 在端口Ten-GigabitEthernet3/0/1上指定名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security nas-id-profile aaa
# 在系统视图下指定名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] port-security nas-id-profile aaa
【相关命令】
· aaa nas-id profile(安全命令参考/AAA)
port-security ntk-mode命令用来配置端口Need To Know特性。
undo port-security ntk-mode命令用来恢复缺省情况。
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkauto | ntkonly }
undo port-security ntk-mode
【缺省情况】
端口未配置Need To Know特性,即所有报文都可成功发送。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ntk-withbroadcasts:允许广播地址报文、目的MAC地址为已知MAC地址的单播报文通过。
ntk-withmulticasts:允许广播地址报文、组播地址报文和目的MAC地址为已知MAC地址的单播报文通过。
ntkauto:仅当有用户上线后,才允许广播地址报文、组播地址报文和目的MAC地址为已知MAC地址的单播报文通过。
ntkonly:仅允许目的MAC地址为已知MAC地址的单播报文通过。
【使用指导】
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已知MAC地址的设备或主机上,从而防止非法设备窃听网络数据。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1的Need To Know特性为ntkonly,即仅允许目的MAC地址为已知MAC地址的单播报文通过。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security ntk-mode ntkonly
【相关命令】
· display port-security
port-security oui命令用来配置允许通过认证的用户的OUI值。
undo port-security oui命令用来删除指定索引的OUI值。
【命令】
port-security oui index index-value mac-address oui-value
undo port-security oui index index-value
【缺省情况】
不存在允许通过认证的用户OUI值。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
index-value:标识此OUI的索引值,取值范围为1~16。
oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位作为OUI值,忽略后24位。
【使用指导】
OUI是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。当需要允许某些厂商的设备(如IP电话或打印机)无需认证即可接入网络时,则可以通过本命令来指定这些设备的OUI值。
可通过多次执行本命令,配置多个OUI值。
配置的OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。
【举例】
# 配置一个允许通过认证的用户OUI值为000d2a,索引为4。
<Sysname> system-view
[Sysname] port-security oui index 4 mac-address 000d-2a10-0033
【相关命令】
· display port-security
port-security packet-detect arp-source-ip factor命令用来配置计算ARP探测报文源IP地址所需的地址和掩码。
undo port-security packet-detect arp-source-ip factor命令用来恢复缺省情况。
【命令】
port-security packet-detect arp-source-ip factor ip-address { mask | mask-length }
undo port-security packet-detect arp-source-ip factor
【缺省情况】
未配置计算ARP探测报文源IP地址所需的地址和掩码,ARP探测报文的源IP地址固定为0.0.0.0。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip-address { mask | mask-length }:指定计算ARP探测报文源IP地址所需的地址和掩码。mask表示IP地址的掩码,点分十进制形式,掩码不能配置为255.255.255.255;mask-length表示IP地址的掩码长度,取值范围为0~31。
【使用指导】
缺省情况下,设备使用0.0.0.0作为ARP探测报文的源IP地址,但网络中可能存在部分用户不支持回应源IP地址为0.0.0.0的ARP探测报文,此时可以通过本命令中指定的IP地址和用户IP地址计算出新的源IP地址。
ARP探测报文的源IP地址由用户地址和本命令中指定的IP地址计算得出,计算公式为:IP = (用户IP & 配置mask) | (配置IP & ~配置mask),其中“~mask”表示反向掩码,如255.255.255.0的反向掩码为0.0.0.255。例如,当用户IP地址为192.168.8.1/24时,如果本命令配置的IP地址为1.1.1.11/255.255.255.0,则ARP探测报文的源IP地址为192.168.8.11/24。
本命令配置的IP地址的掩码长度必须大于或等于用户IP地址的掩码长度,且掩码不能配置为255.255.255.255,否则将导致ARP探测报文的源IP地址与目的IP地址相同。
本命令仅对配置后上线的新用户生效。
【举例】
# 配置计算ARP探测报文源IP地址所需的地址和掩码为0.0.0.11/24。
<Sysname> system-view
[Sysname] port-security packet-detect arp-source-ip factor 0.0.0.11 24
【相关命令】
· mac-authentication packet-detect retry
· dot1x packet-detect retry
port-security port-mode命令用来配置端口安全模式。
undo port-security port-mode命令用来恢复缺省情况。
【命令】
port-security port-mode { autolearn | mac-and-userlogin-secure-ext | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【缺省情况】
端口处于noRestrictions模式,此时该端口的安全功能关闭,端口处于不受端口安全限制的状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
表1-12 安全模式的参数解释表
参数 |
安全模式 |
说明 |
autolearn |
autoLearn |
端口可通过手工配置或自动学习MAC地址。手工配置或自动学习到的MAC地址被称为安全MAC,并被添加到安全MAC地址表中 当端口下的安全MAC地址数超过端口安全允许的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、通过命令mac-address dynamic或mac-address static手工配置的MAC地址的报文,才能通过该端口 |
mac-and-userlogin-secure-ext |
macAddressAndUserLoginSecureExt |
对接入用户先进行MAC地址认证,认证成功后作为临时MAC地址认证用户,仅能访问802.1X Guest VLAN或Guest VSI的资源。之后,端口收到同一MAC地址的802.1X协议报文时,再进行802.1X认证。802.1X认证成功后,临时MAC地址认证用户下线,802.1X用户上线成功 |
mac-authentication |
macAddressWithRadius |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证。允许端口下一个802.1X认证用户及多个MAC地址认证用户接入 非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证 |
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
secure |
secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
userlogin |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
userlogin-secure |
userLoginSecure |
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
userlogin-secure-ext |
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.1X认证用户及多个MAC地址认证用户接入 此模式下,802.1X认证优先级大于MAC地址认证:报文首先触发802.1X认证,默认情况下,如果802.1X认证失败再进行MAC地址认证;若开启了端口的MAC地址认证和802.1X认证并行处理功能,则端口配置了802.1X单播触发功能的情况下,当端口收到源MAC地址未知的报文,会向该MAC地址单播发送EAP-Request帧来触发802.1X认证,但不等待802.1X认证处理完成,就同时进行MAC地址认证 |
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
userlogin-withoui |
userLoginWithOUI |
与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
【使用指导】
端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口授权状态以及端口下的MAC地址认证使能配置互斥。
当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
配置端口安全autoLearn模式时,首先需要通过命令port-security max-mac-count(不指定VLAN参数)设置当前端口上允许的最大安全MAC地址数。
端口上有用户在线的情况下,端口安全模式无法改变。
开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。MAC地址认证延迟功能的具体配置请参见“安全命令参考”中的“MAC地址认证”。
配置端口安全macAddressAndUserLoginSecureExt模式时,为了保证802.1X客户端可以发起认证,建议通过dot1x unicast-trigger命令开启端口上的802.1X单播触发功能。此模式下,MAC地址认证的Guest VLAN或Guest VSI不生效,如有需要请配置802.1X Guest VLAN或Guest VSI。此外,配置本模式后,如果不需要对临时MAC地址认证用户进行计费,请单独为MAC地址认证用户配置ISP域,并指定计费方式为不计费。
端口安全处于macAddressAndUserLoginSecureExt认证模式下时,如果配置了802.1X Guest VLAN功能,必须通过port-security mac-move permit命令开启允许VLAN迁移功能,否则当初始VLAN和Guest VLAN不同时,MAC地址认证成功后,用户无法再通过802.1X认证上线。
【举例】
# 使能端口安全,并配置端口Ten-GigabitEthernet3/0/1的端口安全模式为secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security port-mode secure
# 将端口Ten-GigabitEthernet3/0/1的端口安全模式改变为userLogin。
[Sysname-Ten-GigabitEthernet3/0/1] undo port-security port-mode
[Sysname-Ten-GigabitEthernet3/0/1] port-security port-mode userlogin
【相关命令】
· display port-security
· port-security max-mac-count
port-security pre-auth domain命令用来配置端口安全用户的认证前域。
undo port-security pre-auth domain命令用来恢复缺省情况。
【命令】
port-security pre-auth domain isp-name
undo port-security pre-auth domain
【缺省情况】
未配置端口安全用户的认证前域。
【视图】
二层以太网接口视图
二层聚合接口视图
端口安全认证模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
认证前域是指,802.1X用户、MAC地址认证用户进入认证流程前所处的ISP域。认证前域应用场景包括:
· 首次接入网络(仅适用于802.1X、Web认证用户);
· 认证失败且未配置认证失败域;
· 服务器不可达且未配置逃生域。
接口上配置了认证前域时,在此接口上接入的认证用户将被授予指定认证前域内配置的相关授权属性(目前包括ACL、VLAN、VSI和微分段),并根据授权信息获得相应的网络访问权限。若此用户后续认证成功,则会被AAA下发新的授权信息。
如果当前认证前域中的ACL、VLAN、VSI和微分段授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。
当接口下同时使能802.1X和MAC地址认证功能时,MAC地址认证失败且未配置认证失败域,如果此时触发802.1X认证,用户仍将以MAC地址认证用户身份加入前域。
802.1X用户和MAC地址认证用户支持前域授权VLAN、ACL、VSI和微分段ID,Web认证用户支持前域授权VLAN、ACL和微分段ID。
前域用户属于在线用户,会占用接口的在线用户数量。
前域用户不支持DM、COA、session-control等AAA服务器触发的功能。
【举例】
# 配置端口安全用户的认证前域为bbb。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security pre-auth domain bbb
【相关命令】
· display port-security
port-security static-user命令用来配置端口接入认证的静态用户。
undo port-security static-user命令用来恢复缺省情况。
【命令】
port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain isp-name | [ interface interface-type interface-number [ detect ] ] vlan vlan-id | mac mac-address | keep-online ] *
undo port-security static-user { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置静态用户。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip:指定静态用户的IPv4地址。
ipv6:指定静态用户的IPv6地址。
start-ip-address [ end-ip-address ]:指定静态用户所属的IP地址范围。start-ip-address表示IP地址范围的起始地址,end-ip-address表示IP地址范围的结束地址。如果仅指定start-ip-address参数,而未指定end-ip-address参数,则表示静态用户的IP地址为start-ip-address。
vpn-instance vpn-instance-name:指定静态用户接入的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。
domain isp-name:指定静态用户所属的ISP域。isp-name表示ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:指定静态用户所属接口。其中,interface-type表示接口类型,interface-number表示接口编号。
detect:指定允许设备定期发送ARP报文触发未上线静态用户进行认证。
vlan vlan-id:指定静态用户所属的VLAN。vlan-id表示静态用户当前所属VLAN的VLAN ID,取值范围为1~4094。
mac mac-address:指定静态用户的MAC地址。mac-address表示静态用户的MAC地址,格式为H-H-H。keep-online:指定该静态用户保持在线,不对其进行下线探测。如果未指定本参数,则表示开启静态用户下线探测功能。
【使用指导】
配置本功能时,需要注意:
· 公网或同一私网下,配置静态用户的IP地址范围不能相互重叠。
· 通过undo port-security static-user命令删除静态用户配置时,删除的IP地址范围必须与配置命令完全一致,不能仅删除配置的IP地址范围中的一部分地址。
· 新配置只对未上线的静态用户生效,删改配置不会影响在线静态用户的状态。
设备支持配置的静态用户数为50000个。
当接口达到静态用户最大数限制时,新接入的静态用户无法上线,且用户也不会通过其它类型的接入认证方式上线。
【举例】
# 配置静态用户的IP地址范围是20.20.20.20~20.20.20.30,IP地址处于该范围内的用户可作为静态用户认证上线。
<Sysname> system-view
[Sysname] port-security static-user ip 20.20.20.20 20.20.20.30
【相关命令】
· display port-security static-user
port-security static-user match-mac acl用来配置静态用户MAC地址的匹配规则。
undo port-security static-user match-mac acl命令用来恢复缺省情况。
【命令】
port-security static-user match-mac acl acl-number
undo port-security static-user match-mac acl
【缺省情况】
未配置静态用户MAC地址的匹配规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
配置静态用户的IP地址范围后,匹配上静态用户IP的终端能作为静态用户认证上线,但在实际使用中存在以下问题:
· 终端发送的第一个报文不可控,当终端首先发送的是不携带IP地址的二层报文时,终端无法匹配上静态用户的IP,反而会先触发MAC地址认证。
· 当用户终端支持IPv4和IPv6双栈协议时,如果仅配置了静态用户的IPv4地址,但终端首先发送的是IPv6报文,则同样会先触发MAC地址认证。
为了解决如上问题,可以选择将MAC地址作为静态用户的匹配条件。
配置本功能后,MAC地址匹配上指定ACL规则的用户将只允许作为静态用户认证上线,不允许触发其它方式的认证。
本命令中指定的ACL必须是二层ACL,且只能配置指定源MAC地址范围的permit类型的规则。
【举例】
# 配置静态用户MAC地址的匹配规则为ACL 4001。
<Sysname> system-view
[Sysname] port-security static-user match-mac acl 4001
【相关命令】
· port-security static-user
· acl
port-security static-user max-user命令用来配置端口上最多允许同时接入的静态用户数。
undo port-security static-user max-user命令用来恢复缺省情况。
【命令】
port-security static-user max-user max-number
undo port-security static-user max-user
【缺省情况】
端口上最多允许同时接入的静态用户数为4294967295。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-number:端口允许同时接入的静态用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的静态用户数达到最大值后,新接入的静态用户将被拒绝通过此端口上线。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1最多允许同时接入32个静态用户。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[sysname-Ten-GigabitEthernet3/0/1] port-security static-user max-user 32
【相关命令】
· display port-security static-user
port-security static-user password命令配置静态用户密码
undo port-security static-user password命令用来恢复缺省情况。
【命令】
port-security static-user password { cipher | simple } string
undo port-security static-user password
【缺省情况】
未配置静态用户密码。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:字符串形式,区分大小写,字符串中不能包含“?”和空格。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
通过本命令配置静态用户的密码,静态用户触发认证后,接入设备会将配置的密码发送到认证服务器进行认证。
本功能仅对配置成功后新上线的用户生效。
【举例】
# 配置静态用户的明文密码为123456。
<Sysname> system-view
[Sysname] port-security static-user password simple 123456
【相关命令】
· display port-security static-user
port-security static-user timer detect-period命令用来配置设备主动发送ARP报文触发静态用户认证的周期。
undo port-security static-user timer detect-period命令用来恢复缺省情况。
【命令】
port-security static-user timer detect-period time-value
undo port-security static-user timer detect-period
【缺省情况】
设备主动发送ARP报文触发静态用户认证的周期为3分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:表示设备主动发送ARP报文触发静态用户认证的周期,取值范围为60~2147483647,单位为秒。
【使用指导】
通过port-security static-user命令配置静态用户信息时,如果指定了detect参数,则表示开启ARP探测功能。配置ARP探测定时器的值后,设备会每隔此时间间隔对port-security static-user命令配置的IP地址发送ARP报文,触发未上线静态用户进行认证。
如果配置的静态用户数量过多,建议将ARP探测定时器设置为较大值,避免第一轮IP地址未全部探测完就开启了第二轮探测。
通过本命令修改ARP探测周期后,新配置需要等待已触发的探测超时后才生效。
【举例】
# 配置设备主动发送ARP报文触发静态用户认证的周期为100秒。
<Sysname> system-view
[Sysname] port-security static-user timer detect-period 100
【相关命令】
· display port-security static-user
port-security static-user timer offline-detect命令用来配置静态用户下线检测定时器的值。
undo port-security static-user timer offline-detect命令用来恢复缺省情况。
【命令】
port-security static-user timer offline-detect time-value
undo port-security static-user timer offline-detect
【缺省情况】
静态用户下线检测定时器的值为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
【使用指导】
通过port-security static-user命令配置静态用户时,如果未指定keep online参数,则会对在线静态用户开启下线探测功能。若设备在一个下线检测定时器间隔之内,没有收到某在线静态用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
【举例】
# 配置静态用户下线检测定时器的值为100秒。
<Sysname> system-view
[Sysname] port-security static-user timer offline-detect 100
【相关命令】
· display port-security static-user
port-security static-user update-ip enable 命令用来允许设备更新静态用户的IP地址。
undo port-security static-user update-ip enable 命令用来恢复缺省情况。
【命令】
port-security static-user update-ip enable
undo port-security static-user update-ip enable
【缺省情况】
不允许设备更新静态用户的IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
通过port-security static-user命令配置静态用户的IP地址范围后,IP地址处于此范围内的终端将作为静态用户进行认证。终端作为静态用户在线后,某些终端可能会向接入认证设备发送异常的ARP报文,这类异常ARP报文的源地址不是静态用户的IP地址,触发设备更新终端的IP地址,更新地址后终端不再是静态用户,导致终端下线。
本功能需要配合DHCP Snooping、ARP Snooping、DHCPv6 Snooping或ND Snooping功能使用,只有使能相应的Snooping功能,才能收到该Snooping模块通知的IP地址的变化情况。
缺省情况下,当收到异常ARP报文时,若源地址非静态用户的IP地址,设备不会更新静态用户的IP地址,避免导致在线静态用户下线。当想要跟踪终端IP地址的变化情况时,可以选择开启本功能,允许设备更新静态用户的IP地址。
【举例】
# 配置允许设备更新静态用户的IP地址。
<Sysname> system-view
[Sysname] port-security static-user update-ip enable
【相关命令】
· display port-security static-user
port-security static-user user-name-format命令配置静态用户上线时使用的用户名形式。
undo port-security static-user user-name-format命令用来恢复缺省情况。
【命令】
port-security static-user user-name-format { ip-address | mac-address | system-name }
undo port-security static-user user-name-format
【缺省情况】
静态用户的用户名为接入设备名称Sysname和用户IP地址的结合,格式为SysnameIP。例如,接入设备名称为test,用户的IP地址为1.1.1.1,则静态用户的用户名为test1.1.1.1。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip-address:表示使用静态用户的IP地址作为用户名。例如,静态用户的IP地址为1.1.1.1,则用户名为1.1.1.1。
mac-address:表示使用静态用户的MAC地址作为用户名。例如,静态用户的MAC地址为1a46-6209-0100,若未配置MAC账号格式,则用户名默认为1a46-6209-0100。
system-name:表示使用静态用户的接入设备的名称作为用户名。例如,接入设备的名称为test,则用户名为test。
【使用指导】
通过本命令配置静态用户的用户名,静态用户触发认证后,接入设备会将配置的用户名发送到认证服务器进行认证。
如果静态用户名包括设备名,那么当设备名长度超过16个字节时,系统仅会取设备名的前16个字节。
当静态用户使用的用户名为IP或MAC地址时,设备上不能开启MAC地址认证自动恢复功能,否则当设备重启或故障恢复时,静态用户会被当作MAC地址认证用户恢复上线。MAC地址认证自动恢复功能的详细介绍请参见“安全配置指导”中的“MAC地址认证”。
本功能配置成功后仅对新上线的静态用户生效。
多次配置本命令,则最后一次配置的命令生效。
【举例】
# 配置静态用户上线时使用IP地址作为用户名。
<Sysname> system-view
[Sysname] port-security static-user user-name-format ip-address
【相关命令】
· display port-security static-user
port-security static-user user-name-format mac-address配置静态用户用户名为MAC地址时的账号格式。
undo port-security static-user user-name-format mac-address命令用来恢复缺省情况。
【命令】
port-security static-user user-name-format mac-address { one-section | { six-section | three-section } delimiter { colon | hyphen } } [ uppercase ] [ password-with-mac ]
undo port-security static-user user-name-format mac-address
【缺省情况】
使用用户的MAC地址作为用户名时,密码为空。MAC地址格式为三段式,以短横线作为分隔符,且字母为小写。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
one-section:表示一段式MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
six-section:表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX。
three-section:表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。
delimiter:指定六段式或三段式MAC地址使用的分隔符。
· colon:表示使用冒号作为分隔符。
· hyphen:表示使用短横线作为分隔符。
uppercase:表示MAC地址中的字母为大写。如果未指定本参数,则表示使用MAC地址的小写格式。
password-with-mac:指定MAC地址作为用户名时,同时作为密码。如果未指定本参数时,则表示使用port-security static-user password配置的密码。
【使用指导】
本命令优先级高于port-security static-user user-name-format和port-security static-user password。
【举例】
# 配置静态用户认证时使用的用户名为六段式MAC地址,MAC地址格式为大写字母,且使用短横线作为分隔符,同时配置使用静态用户的MAC地址作为密码。
<Sysname> system-view
[Sysname] port-security static-user user-name-format mac-address six-section delimiter hyphen uppercase password-with-mac
【相关命令】
· display port-security static-user
port-security strict-intrusion-protection enable命令用来开启严格入侵检测功能。
undo port-security strict-intrusion-protection enable命令用来关闭严格入侵检测功能。
【命令】
port-security strict-intrusion-protection enable
undo port-security strict-intrusion-protection enable
【缺省情况】
严格入侵检测功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
严格入侵检测功能是指当用户在端口接入时,如果设备检测到其它端口的安全MAC地址表项中已经记录同一VLAN中的相同MAC地址,则认为该用户为非法用户,触发当前端口的入侵检测特性。
严格入侵检测功能仅在端口上的入侵检测特性模式为disableport或disableport-temporarily的情况下生效。
【举例】
# 在端口Ten-GigabitEthernet3/0/1下开启严格入侵检测功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security strict-intrusion-protection enable
【相关命令】
· port-security intrusion-mode
· port-security port-mode
port-security timer命令用来配置端口非认证成功在线用户的定时器参数。
undo port-security timer命令用来恢复缺省情况。
【命令】
port-security timer { reauth-period { auth-fail-domain | preauth-domain } | user-aging { auth-fail-domain | critical-domain | preauth-domain } } time-value
undo port-security timer { reauth-period { auth-fail-domain | preauth-domain } | user-aging { auth-fail-domain | critical-domain | preauth-domain } }
【缺省情况】
周期性重认证定时器的值为600秒,用户老化定时器的值为23小时。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
reauth-period:周期性重认证定时器。
preauth-domain:认证前域。
auth-fail-domain:认证失败域。
critical-domain:逃生域。
user-aging:用户老化定时器。
time-value:整数形式。周期性重认证定时器的取值范围是0或30~7200,单位为秒,0表示不开启重认证;用户老化定时器的取值范围是0或60~4294860,单位是秒,0表示不老化。
【使用指导】
周期性重认证定时器(reauth-period)不为0时,表示端口自动开启周期性重认证功能,设备端以此间隔为周期对端口上的在线用户发起重认证。
用户老化定时器(user-aging)不为0时,表示指定类型的ISP域内的用户表项会老化。到达配置的老化时间后,用户将离开指定的域。
重认证定时器对Web认证用户不生效。
通过authen-radius-recover online命令保持在线的逃生用户受用户老化定时器控制,用户老化定时器超时后保持在线的逃生用户依然会下线。authen-radius-recover online命令的详细介绍请参见“安全命令参考”中的“AAA”。
【举例】
# 配置认证前域用户老化时间为60秒。
<Sysname> system-view
[Sysname] port-security timer user-aging preauth-domain 60
【相关命令】
· display port-security
· authen-radius-recover online(安全命令参考/AAA)
port-security timer autolearn aging命令用来配置安全MAC地址的老化时间。
undo port-security timer autolearn aging命令用来恢复缺省情况。
【命令】
port-security timer autolearn aging [ second ] time-value
undo port-security timer autolearn aging
【缺省情况】
安全MAC地址不会老化。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
second:指定安全MAC地址老化时间单位为秒。如果未指定本参数,则表示安全MAC地址老化时间单位为分钟。
time-value:安全MAC地址的老化时间。若单位为分钟,则取值范围为0~129600,取值为0表示不会老化。若单位为秒,则取值范围10~7776000。
【使用指导】
安全MAC地址的老化时间对所有端口学习到的安全MAC地址以及手工添加的Sticky MAC地址均有效。
当指定的安全MAC地址老化时间单位为秒时,若配置的老化时间大于等于60秒,则安全MAC地址的实际老化时间会以半分钟向上取整,例如,配置老化时间为80秒,则实际老化时间为90秒;若配置的老化时间小于60秒,则安全MAC地址的实际老化时间为用户配置时间。
较短的老化时间可提高端口接入的安全性和端口资源的利用率,但也会影响在线用户的在线稳定性,因此需要结合当前的网络环境和设备的性能合理设置老化时间。
当配置的安全MAC地址老化时间小于60秒,且安全MAC地址老化方式为无流量老化时,建议端口安全允许的最大安全MAC地址数不要配置过大,否则可能影响设备性能。
【举例】
# 配置安全MAC地址的老化时间为30分钟。
<Sysname> system-view
[Sysname] port-security timer autolearn aging 30
# 配置安全MAC地址的老化时间为50秒。
<Sysname> system-view
[Sysname] port-security timer autolearn aging second 50
【相关命令】
· display port-security
· port-security mac-address security
port-security timer blockmac命令用来配置将非法报文的源MAC地址加入阻塞MAC地址列表的时间。
undo port-security timer blockmac命令用来恢复缺省情况。
【命令】
port-security timer blockmac time-value
undo port-security timer blockmac
【缺省情况】
将非法报文的源MAC地址加入阻塞MAC地址列表的时间为180秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:将非法报文的源MAC地址加入阻塞MAC地址列表的时间,取值范围为1~3600,单位为秒。
【使用指导】
当通过port-security intrusion-mode命令设置入侵检测特性模式为blockmac时,将非法报文的源MAC地址加入阻塞MAC地址列表的时间由该命令配置。
【举例】
# 配置将非法报文的源MAC地址加入阻塞MAC地址列表的时间为60秒。
<Sysname> system-view
[Sysname] port-security timer blockmac 60
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security intrusion-mode blockmac
【相关命令】
· display port-security
· port-security intrusion-mode
port-security timer disableport命令用来配置系统暂时关闭端口的时间。
undo port-security timer disableport命令用来恢复缺省情况。
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【缺省情况】
系统暂时关闭端口的时间为20秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:端口关闭的时间,取值范围为20~300,单位为秒。
【使用指导】
当port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口的时间由该命令配置。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1的入侵检测特性检测到非法报文后,将收到非法报文的端口暂时关闭30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security intrusion-mode disableport-temporarily
· display port-security
· port-security intrusion-mode
port-security topology-change detect-period命令用来配置网络拓扑改变时,设备主动发送ARP/NS探测报文的周期。
undo port-security topology-change detect-period命令用来恢复缺省情况。
【命令】
port-security topology-change detect-period time-value
undo port-security topology-change detect-period
【缺省情况】
网络拓扑改变时,设备主动发送ARP/NS探测报文的周期为5秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:设备主动发送ARP/NS探测报文的周期,取值范围为1~3600,单位为秒。
【使用指导】
当隔离组的某成员端口收到STP模块发送的TC事件报文,且允许在线用户在隔离组的成员端口间迁移时,设备会每隔一个探测周期通过另一个成员端口向该成员端口上的在线用户发送ARP/NS报文。
如果端口上的在线用户较多,建议将探测周期设置为较大值,避免第一轮探测报文未发送完就开启了第二轮探测。
通过本命令修改探测周期后,新配置的探测周期需要等已触发的探测周期超时后才生效。
【举例】
# 配置网络拓扑改变时,设备主动发送ARP/NS探测报文的周期为100秒。
<Sysname> system-view
[Sysname] port-security topology-change detect-period 100
【相关命令】
· display port-security
· port-security topology-change free-mac-move
· port-security topology-change retry
port-security topology-change detect-retry命令用来配置当网络拓扑改变时,设备发送探测报文的最大次数。
undo port-security topology-change detect-retry命令用来恢复缺省情况。
【命令】
port-security topology-change detect-retry retries
undo port-security topology-change detect-retry
【缺省情况】
当网络拓扑改变时,设备发送探测报文的最大次数为3。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
retries:设备发送探测报文的最大次数,取值范围为1~10。
【使用指导】
当隔离组的某成员端口收到STP模块发送的TC事件报文,且允许用户在隔离组的成员端口间迁移时,设备会每隔一个探测周期通过另一个成员端口向该成员端口上的认证用户发送ARP/NS探测报文。如果探测报文发送次数达到本命令配置的最大值时,仍未收到用户的回应报文,则设备认为本隔离组所在网络拓扑不变,不迁移该用户。
【举例】
# 配置当网络拓扑改变时,设备发送探测报文的最大次数为8。
<Sysname> system-view
[Sysname] port-security topology-change detect-retry 8
【相关命令】
· display port-security
· port-security topology-change detect-period
· port-security topology-change free-mac-move
port-security topology-change free-mac-move命令用来配置网络拓扑改变时,允许用户在隔离组的成员端口间免认证迁移。
undo port-security topology-change free-mac-move命令用来恢复缺省情况。
【命令】
port-security topology-change free-mac-move
undo port-security topology-change free-mac-move
【缺省情况】
网络拓扑改变时,不允许用户在隔离组的成员端口间免认证迁移。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
网络拓扑改变时,STP(Spanning Tree Protocol,生成树协议)模块会发送TC(Topology Change,拓扑改变)事件报文通知相关设备网络拓扑发生变化。
开启本功能后,当TC隔离组内的网络拓扑改变,导致成员端口上的在线用户流量转发异常时,设备可以根据报文探测结果或TC隔离组成员端口状态迁移用户,避免某些用户无法主动发送用户报文触发迁移,同时通过免认证实现迁移用户的快速重新上线。
本功能实现过程如下:
· 当隔离组的某成员端口处于UP状态且收到TC事件报文后,设备将查询从该端口上线的认证用户,并通过隔离组的另一个成员端口向这些用户发送ARP/NS探测报文:
¡ 如果另一个成员端口收到了用户的回应报文,则该用户将跳过认证流程,直接迁移到另一个成员端口上线。
¡ 如果另一个成员端口在探测达到最大次数时仍未收到回应报文,则设备认为本隔离组所在网络拓扑不变,不迁移用户。
· 当由于隔离组的某成员端口DOWN导致网络拓扑改变时,设备不会等收到STP模块发送的TC事件报文,也不会主动从另一个成员端口探测用户,会立即将用户从该成员端口免认证迁移到另一个成员端口。迁移后,可通过在新端口上开启下线检测或ARP/NS报文探测功能判断用户是否能正常上线。
· 关于TC隔离组的详细介绍,请参见“二层技术-以太网交换配置指导”中的“生成树”。
本功能仅对静态用户、MAC地址认证用户和802.1X用户生效。
建议隔离组两个成员端口上的所有配置保持一致,否则可能导致用户迁移失败。
【举例】
# 配置网络拓扑改变时,允许用户在隔离组的成员端口间免认证迁移。
<Sysname> system-view
[Sysname] port-security topology-change free-mac-move
【相关命令】
· port-security topology-change detect-period
· port-security topology-change retry
· stp tc-group(二层技术-以太网交换命令参考/生成树)
port-security triple-auth-order mac-dot1x-web命令用来配置Triple认证环境下,端口的认证顺序为MAC地址认证、802.1X认证和Web认证。
undo port-security triple-auth-order命令用来恢复缺省情况。
【命令】
port-security triple-auth-order mac-dot1x-web
undo port-security triple-auth-order
【缺省情况】
Triple认证环境下,不同类型的终端报文最先触发的认证方式不同。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
本命令仅在Triple认证环境中生效。Triple认证允许在接入用户的二层端口上同时开启Web认证、MAC地址认证和802.1X认证功能,不同类型的终端报文可触发不同的认证过程,具体介绍请参见“安全配置指导”中的“Triple配置”。配置本功能后,任意终端报文,都将先触发MAC地址认证。
端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦终端通过某一种认证,其它认证过程的进行情况有所不同:
· 如果终端通过MAC地址认证,仍可以进行802.1X认证,但不会再进行Web认证。如果802.1X认证成功,则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。否则,用户依然保持MAC地址认证在线,且允许再次触发802.1X认证,但不能再次触发Web认证。
· 如果MAC地址认证失败,终端通过了802.1X认证或者Web认证,则端口上其他认证会立即终止,且不能被再次触发。
配置本功能后,将导致正在认证的用户认证失败,用户需要重新触发认证才能上线。为了避免造成认证用户无法上线,请勿随意配置本功能修改认证方式顺序。
【举例】
# 配置端口Ten-GigabitEthernet3/0/1的认证顺序为MAC地址认证、802.1X认证、Web认证。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security triple-auth-order mac-dot1x-web
【相关命令】
· mac-authentication
· dot1x
· web-auth enable
port-security url-unavailable domain命令用来配置端口安全用户重定向URL不可达时的逃生域。
undo port-security url-unavailable domain命令用来恢复缺省情况。
【命令】
port-security url-unavailable domain isp-name
undo port-security url-unavailable domain
【缺省情况】
未指定端口安全用户认证过程中重定向URL不可达时的逃生域。
【视图】
二层以太网接口视图
二层聚合接口视图
端口安全认证模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本特性仅适用于MAC地址认证和Web认证用户。
在用户认证过程中,当重定向URL指定的Web服务器不可达时,用户将无法到达指定的Web认证页面,从而无法正常上线。配置URL不可达逃生域后,在重定向URL不可达时,用户可以在逃生域中上线,并访问其中的资源。
本功能与802.1X、MAC地址认证和Web认证模块的Guest VLAN/VSI、Auth-fail VLAN/VSI、Critical VLAN/VSI/微分段以及逃生策略模板功能互斥。
【举例】
# 在端口Ten-GigabitEthernet3/0/1上配置端口安全用户重定向URL不可达时的逃生域为bbb。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] port-security url-unavailable domain bbb
【相关命令】
· display port-security
reset port-security static-user强制在线静态用户下线。
【命令】
reset port-security static-user [ interface interface-type interface-number | { ip | ipv6 } ip-address | mac mac-address | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | user-name user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:强制指定接口下的在线静态用户下线。其中,interface-type表示接口类型,interface-number表示接口编号。
{ ip | ipv6 } ip-address:强制指定IP地址的在线静态用户下线。指定ip时,ip-address表示静态用户的IPv4地址;指定ipv6时,ip-address表示静态用户的IPv6地址。
mac mac-address:强制指定MAC地址的在线静态用户下线。mac-address表示静态用户的MAC地址,格式为H-H-H。
online-type:表示强制指定类型的在线静态用户下线。
· auth-fail-domain:表示强制认证失败域内的在线静态用户下线。
· critical-domain:表示强制认证逃生域内的在线静态用户下线。
· preauth-domain:表示强制认证前域内的在线静态用户下线。
· success:表示强制认证成功的在线静态用户下线。
user-name user-name:强制指定用户名的在线静态用户下线。user-name表示静态用户的用户名,为1~253个字符的字符串,区分大小写。
【使用指导】
如果未指定任何参数,则表示强制所有的在线静态用户下线。
【举例】
# 强制接口Ten-GigabitEthernet3/0/1上的所有在线静态用户下线。
<Sysname> reset port-security static-user interface ten-gigabitethernet 3/0/1
【相关命令】
· display port-security static-user
reset port-security statistics命令用来清除端口安全的统计计数信息。
【命令】
reset port-security statistics
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【举例】
# 清除端口安全的统计计数信息。
<Sysname> reset port-security statistics
【相关命令】
· display port-security statistics
snmp-agent trap enable port-security命令用来开启端口安全告警功能。
undo snmp-agent trap enable port-security命令用来关闭指定的端口安全告警功能。
【命令】
snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *
undo snmp-agent trap enable port-security [ address-learned | dot1x-failure | dot1x-logoff | dot1x-logon | intrusion | mac-auth-failure | mac-auth-logoff | mac-auth-logon ] *
【缺省情况】
端口安全的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
address-learned:表示端口学习到新MAC地址时的告警功能。
dot1x-failure:表示802.1X用户认证失败时的告警功能。
dot1x-logon:表示802.1X用户认证成功时的告警功能。
dot1x-logoff:表示802.1X用户认证下线时的告警功能。
intrusion:表示发现非法报文时的告警功能。
mac-auth-failure:表示MAC地址认证用户认证失败时的告警功能。
mac-auth-logoff:表示MAC地址认证用户认证下线时的告警功能。
mac-auth-logon:表示MAC地址认证用户认证成功时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的端口安全告警功能。
指定intrusion参数时,必须同时配置入侵检测特性(通过命令port-security intrusion-mode),该告警功能才生效。
开启端口安全模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启端口学习到新MAC地址时的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable port-security address-learned
【相关命令】
· display port-security
· port-security enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!