端口安全典型配置指导Word文件下载.docx
《端口安全典型配置指导Word文件下载.docx》由会员分享,可在线阅读,更多相关《端口安全典型配置指导Word文件下载.docx(23页珍藏版)》请在冰豆网上搜索。
表1-1配置适用的产品与软硬件版本关系
产品
软件版本
硬件版本
S5500-SI系列以太网交换机
Release1207软件版本
全系列硬件版本
(除S5500-20TP-SI)
Release1301软件版本
S5500-20TP-SI
S5500-EI系列以太网交换机
Release2102软件版本
1.1.4配置过程和解释
#使能端口安全功能。
<
Switch>
system-view
[Switch]port-securityenable
#打开入侵检测Trap开关。
[Switch]port-securitytrapintrusion
#设置端口允许的最大安全MAC地址数为64。
[Switch]interfaceGigabitEthernet1/0/1
[Switch-GigabitEthernet1/0/1]port-securitymax-mac-count64
#设置端口安全模式为autoLearn。
[Switch-GigabitEthernet1/0/1]port-securityport-modeautolearn
#设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。
[Switch-GigabitEthernet1/0/1]port-securityintrusion-modedisableport-temporarily
[Switch-GigabitEthernet1/0/1]quit
[Switch]port-securitytimerdisableport30
(1)验证配置结果
上述配置完成后,可以用display命令显示端口安全配置情况,如下:
displayport-securityinterfacegigabitethernet1/0/1
Equipmentport-securityisenabled
Intrusiontrapisenabled
DisableportTimeout:
30s
OUIvalue:
GigabitEthernet1/0/1islink-up
PortmodeisautoLearn
NeedToKnowmodeisdisabled
IntrusionProtectionmodeisDisablePortTemporarily
MaxMACaddressnumberis64
StoredMACaddressnumberis0
Authorizationispermitted
可以看到端口的最大安全MAC数为64,端口模式为autoLearn,入侵检测Trap开关打开,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒。
配置完成后,允许地址学习,学习到的MAC地址数可以用上述命令显示,如学习到5个,那么存储的安全MAC地址数就为5,可以在端口视图下用displaythis命令查看学习到的MAC地址,如:
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]displaythis
#
interfaceGigabitEthernet1/0/1
port-securitymax-mac-count64
port-securityport-modeautolearn
port-securitymac-addresssecurity0002-0000-0015vlan1
port-securitymac-addresssecurity0002-0000-0014vlan1
port-securitymac-addresssecurity0002-0000-0013vlan1
port-securitymac-addresssecurity0002-0000-0012vlan1
port-securitymac-addresssecurity0002-0000-0011vlan1
当学习到的MAC地址数达到64后,用命令displayport-securityinterface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,Trap信息如下:
#May203:
15:
55:
8712000SwitchPORTSEC/1/VIOLATION:
Traph3cSecureViolation
Aintrusionoccurs!
IfIndex:
9437207
Port:
MACAddr:
VLANID:
1
IfAdminStatus:
并且可以通过下述命令看到端口安全将此端口关闭:
Switch-GigabitEthernet1/0/1>
displayinterfacegigabitethernet1/0/1
GigabitEthernet1/0/1currentstate:
PortSecurityDisabled
IPPacketFrameType:
PKTFMT_ETHNT_2,HardwareAddress:
000f-cb00-5558
Description:
GigabitEthernet1/0/1Interface
......
30秒后,端口状态恢复:
[Switch-GigabitEthernet1/0/1]displayinterfacegigabitethernet1/0/1
UP
此时,如手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。
1.1.5完整配置
port-securityenable
port-securitytrapintrusion
port-securitytimerdisableport30
port-securityintrusion-modedisableport-temporarily
1.1.6配置注意事项
●在使能端口安全功能之前,需要关闭全局的802.1x和MAC地址认证功能。
●端口安全模式的配置与端口加入聚合组互斥。
●当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。
●端口上有用户在线的情况下,端口安全功能无法关闭。
1.2端口安全userLoginWithOUI模式典型配置指导
在端口安全userLoginWithOUI模式下,端口必须通过802.1x认证才能开启,且只允许认证成功的用户报文通过。
除此之外,端口还允许一个指定OUI的源MAC地址的报文认证通过。
1.2.1组网图
图1-2端口安全userLoginWithOUI模式组网图
1.2.2组网需求
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
●允许一个802.1x用户上线;
●最多可以配置16个OUI值,还允许端口上有一个与OUI值匹配的MAC地址用户通过。
1.2.3适用产品、版本
表1-2配置适用的产品与软硬件版本关系
1.2.4配置过程和解释
&
说明:
●下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“AAA–RADIUS-HWTACACS配置”。
●接入用户和RADIUS服务器上的配置略。
(1)具体的配置步骤
●配置RADIUS协议
#创建名为radsun的RADIUS方案。
[Switch]radiusschemeradsun
#设置主认证RADIUS服务器的IP地址为,主计费RADIUS服务器的IP地址为
[Switch-radius-radsun]primaryauthentication
[Switch-radius-radsun]primaryaccounting
#设置从认证RADIUS服务器的IP地址为,从计费RADIUS服务器的IP地址为
[Switch-radius-radsun]secondaryauthentication
[Switch-radius-radsun]secondaryaccounting
#设置与认证RADIUS服务器交互报文时的加密密码为name。
[Switch-radius-radsun]keyauthenticationname
#设置与计费RADIUS服务器交互报文时的加密密码为money。
[Switch-radius-radsun]keyaccountingmoney
#设置RADIUS服务器应答超时时间为5秒,RADIUS报文的超时重传次数的最大值为5。
[Switch-radius-radsun]timerresponse-timeout5
[Switch-radius-radsun]retry5
#设置向RADIUS服务