H3C S3600 系列以太网交换机 命令手册端口安全端口绑定要点.docx
《H3C S3600 系列以太网交换机 命令手册端口安全端口绑定要点.docx》由会员分享,可在线阅读,更多相关《H3C S3600 系列以太网交换机 命令手册端口安全端口绑定要点.docx(22页珍藏版)》请在冰豆网上搜索。
H3CS3600系列以太网交换机命令手册端口安全端口绑定要点
第1章端口安全命令..............................................................................................................1-1
1.1端口安全命令.....................................................................................................................1-1
1.1.1displaymac-addresssecurity..................................................................................1-1
1.1.2displayport-security................................................................................................1-1
1.1.3mac-addresssecurity..............................................................................................1-3
1.1.4port-securityenable.................................................................................................1-5
1.1.5port-securityintrusion-mode....................................................................................1-6
1.1.6port-securityauthorizationignore............................................................................1-7
1.1.7port-securitymax-mac-count...................................................................................1-8
1.1.8port-securityntk-mode............................................................................................1-9
1.1.9port-securityoui.....................................................................................................1-10
1.1.10port-securityport-mode.......................................................................................1-11
1.1.11port-securitytimerdisableport.............................................................................1-13
1.1.12port-securitytrap.................................................................................................1-13
第2章端口绑定.....................................................................................................................2-1
2.1端口绑定命令.....................................................................................................................2-1
2.1.1amuser-bindinterface............................................................................................2-1
2.1.2amuser-bind...........................................................................................................2-2
2.1.3displayamuser-bind...............................................................................................2-2
端口安全命令
第1章端口安全命令
1.1端口安全命令
1.1.1displaymac-addresssecurity
【命令】
displaymac-addresssecurity[interfaceinterface-typeinterface-number][vlan
vlan-id][count]
【视图】
任意视图
【参数】
interface-type:
端口类型。
interface-number:
端口编号。
vlan-id:
VLAN的ID,取值范围为1~4094。
count:
显示SecurityMAC地址的数量。
【描述】
displaymac-addresssecurity命令用来显示SecurityMAC地址的相关信息,包
括:
端口学到的MAC地址、端口所属的VLANID、端口当前状态、端口编号、MAC
地址的老化时间。
根据该命令的输出信息,用户可以确认当前的配置,有助于故障的监控和诊断。
【举例】
#显示端口Ethernet1/0/1的SecurityMAC地址的相关信息。
displaymac-addresssecurityinterfaceEthernet1/0/1
MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)
0001-0001-00011SecurityEthernet1/0/1NOAGED
---1macaddress(es)foundonportEthernet1/0/1---
1.1.2displayport-security
【命令】
displayport-security[interfaceinterface-list]
端口安全命令
【视图】
任意视图
【参数】
interface-list:
以太网端口列表,表示多个以太网端口,表示方式为interface-list=
{interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中,interface-type为端口类型,interface-number为端口编号。
&<1-10>表示前
面的参数最多可以输入10次。
【描述】
displayport-security命令用来显示端口安全配置的相关信息(包括全局和端口的
配置信息)。
根据该命令的输出信息,用户可以确认当前的配置,有助于故障的监
控和诊断。
注意:
..如果不指定interface-list参数,则显示全局和所有端口的配置信息;
..如果指定了interface-list参数,则显示全局和指定端口的配置信息。
【举例】
#显示全局和所有端口的端口安全配置信息。
displayport-security
Equipmentport-securityisenabled
AddressLearntrapisEnabled
IntrusiontrapisEnabled
Dot1xlogontrapisEnabled
Dot1xlogofftrapisEnabled
Dot1xlogfailuretrapisEnabled
RALMlogontrapisEnabled
RALMlogofftrapisEnabled
RALMlogfailuretrapisEnabled
VlanidassignedisNULL
DisableportTimeout:
20s
OUIvalue:
Indexis5,OUIvalueis00efec
Ethernet1/0/1islink-down
PortmodeisUserlogin
NeedtoKnowmodeisneedtoknowonly
Intrusionmodeisdisableport
Maxmac-addressnumis100
端口安全命令
Storedmac-addressnumis0
Authorizationispermit
(以下显示信息略)
表1-1displayport-security命令显示信息描述表
字段
描述
Equipmentportsecurityisenabled
交换机端口安全特性已经开启
AddressLearntrapisEnabled
MAC地址学习的Trap信息已经打开
IntrusiontrapisEnabled
入侵检测的Trap信息已经打开
Dot1xlogontrapisEnabled
802.1x用户认证成功的Trap信息已经打开
Dot1xlogofftrapisEnabled
802.1x用户下线的Trap信息已经打开
Dot1xlogfailuretrapisEnabled
802.1x用户认证失败的Trap信息已经打开
RALMlogontrapisEnabled
RALM用户认证成功的Trap信息已经打开
RALMlogofftrapisEnabled
RALM用户下线的Trap信息已经打开
RALMlogfailuretrapisEnabled
RALM用户认证失败的Trap信息已经打开
VlanidassignedisNULL
下发的VLAN为空
DisableportTimeout:
20s
系统暂时断开端口连接的时间为20秒
OUIvalue
OUI的值
Ethernet1/0/1islink-down
端口Ethernet1/0/1的链路状态为down
PortmodeisUserlogin
端口安全模式为Userlogin
NeedtoKnowmodeisneedtoknowonly
NeedtoKnow特性为needtoknowonly
Intrusionmodeisdisableport
入侵检测动作模式为disableport
Maxmac-addressnumis100
端口允许接入的最大MAC地址数为100
Storedmac-addressnumis0
保存的MAC地址数为0
Authorizationispermit
端口将应用RADIUS服务器下发的授权信息
1.1.3mac-addresssecurity
【命令】
mac-addresssecuritymac-address[interfaceinterface-typeinterface-number]
vlanvlan-id
undomac-addresssecuritymac-address[interfaceinterface-type
interface-number]vlanvlan-id
端口安全命令
【视图】
系统视图/以太网端口视图
【参数】
interface-type:
端口类型。
interface-number:
端口编号。
..说明:
如果是在系统视图下执行以上命令,则需要配置interfaceinterface-type
interface-number参数。
vlan-id:
VLAN的ID,取值范围为1~4094。
【描述】
mac-addresssecurity命令用来添加SecurityMAC地址。
undomac-address
security命令用来删除配置的SecurityMAC地址。
缺省情况下,系统没有添加SecurityMAC地址。
..说明:
只有在全局启用端口安全功能,并且端口配置port-securityport-modeautolearn
命令之后,才能配置SecurityMAC地址。
【举例】
#进入系统视图。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
#使能端口的安全功能。
[H3C]port-securityenable
#进入Ethernet1/0/1以太网端口视图。
[H3C]interfaceEthernet1/0/1
#配置端口允许接入的最大SecurityMAC地址数为100。
[H3C-Ethernet1/0/1]port-securitymax-mac-count100
#配置端口的安全模式为autolearn。
[H3C-Ethernet1/0/1]port-securityport-modeautolearn
#将SecurityMAC地址0001-0001-0001添加到VLAN1中。
端口安全命令
[H3C-Ethernet1/0/1]mac-addresssecurity0001-0001-0001vlan1
1.1.4port-securityenable
【命令】
port-securityenable
undoport-securityenable
【视图】
系统视图
【参数】
无
【描述】
port-securityenable命令用来使能端口安全功能。
undoport-securityenable命
令用来关闭端口安全功能。
缺省情况下,端口安全功能处于关闭状态。
注意:
当用户使能端口安全特性后,为避免引起冲突,交换机的802.1x认证和MAC地址
认证将出现如下一些限制:
..dot1xport-control命令配置的接入控制的模式将自动转变为auto。
..命令dot1x,dot1xport-method,dot1xport-control和mac-authentication
不能再进行配置。
【举例】
#进入系统视图。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
#使能端口的安全功能。
[H3C]port-securityenable
Notice:
Theport-controlof802.1xwillberestrictedtoautowhen
port-securityisenabled.
Pleasewait...Done.
端口安全命令
1.1.5port-securityintrusion-mode
【命令】
port-securityintrusion-mode{disableport|disableport-temporarily|
blockmac}
undoport-securityintrusion-mode
【视图】
以太网端口视图
【参数】
disableport:
表示永久断开端口连接。
disableport-temporarily:
表示暂时断开端口连接,经过预先设置的时间之后再启
用端口。
blockmac:
表示丢弃源MAC地址非法的报文。
..说明:
用户可以使用port-securitytimerdisableport命令,设置在
disableport-temporarily模式下系统暂时断开端口连接的时间。
【描述】
port-securityintrusion-mode命令用来设置IntrusionProtection特性被触发后,
设备采取的相应动作。
undoport-securityintrusion-mode命令用来取消设置的相
应动作。
缺省情况下,系统没有设置IntrusionProtection特性被触发后,设备采取的相应动
作。
..说明:
IntrusionProtection特性是指端口通过检测接收到的数据帧的源MAC地址或
802.1x认证的用户名密码,发现非法报文或非法事件,并采取相应的动作,包括暂
时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的
安全性。
以下情况会触发IntrsionProtuction特性:
..当端口禁止MAC地址学习时,收到的源地址为未知MAC地址的报文;
..当端口允许接入的MAC地址数达到设置的最大值时,收到的源地址为未知MAC
地址的报文;
..用户使用802.1x认证和MAC地址认证失败。
端口安全命令
当用户配置了port-securityintrusion-modeblockmac后,只能通过display
port-security命令查看处于Blocked状态的MAC地址信息,且此类MAC地址不
能再被配置为静态MAC地址。
【举例】
#进入系统视图。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
#使能端口的安全功能。
[H3C]port-securityenable
#进入Ethernet1/0/1以太网端口视图。
[H3C]interfaceEthernet1/0/1
#设置端口Ethernet1/0/1的IntrusionProtection特性被触发后,设备采取的安全模
式为disableport。
[H3C-Ethernet1/0/1]port-securityintrusion-modedisableport
1.1.6port-securityauthorizationignore
【命令】
port-securityauthorizationignore
undoport-securityauthorizationignore
【视图】
以太网端口视图
【参数】
无
【描述】
port-securityauthorizationignore命令用来配置当前端口不应用RADIUS服务器
下发的授权信息。
undoport-securityauthorizationignore命令用来恢复系统的
缺省配置。
缺省情况下,端口将应用RADIUS服务器下发的授权信息。
..配置port-securityauthorizationignore后,如果执行displayport-security
interface命令,将显示“Authorizationisignore”的信息。
..配置undoport-securityauthorizationignore后,如果执行display
port-securityinterface,将显示“Authorizationispermit”的信息。
端口安全命令
【举例】
#配置端口Ethernet1/0/2不应用RADIUS服务器下发的授权信息。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[H3C]interfaceEthernet1/0/2
[H3C-Ethernet1/0/2]port-securityauthorizationignore
1.1.7port-securitymax-mac-count
【命令】
port-securitymax-mac-countcount-value
undoport-securitymax-mac-count
【视图】
以太网端口视图
【参数】
count-value:
最大MAC地址数,取值范围为1~1024。
【描述】
port-securitymax-mac-count命令用来设置端口允许接入的最大MAC地址数,
该数值包括通过802.1x认证的MAC地址数、通过集中式MAC地址认证的MAC地
址数和SecurityMAC地址数。
undoport-securitymax-mac-count命令用来取消
该限制。
缺省情况下,端口允许接入的最大MAC地址数不受限制。
【举例】
#进入系统视图。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
#使能端口的安全功能。
[H3C]port-securityenable
#进入Ethernet1/0/1以太网端口视图。
[H3C]interfaceEthernet1/0/1
#设置端口允许接入的最大MAC地址数为100。
[H3C-Ethernet1/0/1]port-securitymax-mac-count100
端口安全命令