一、端口安全简介
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:MAC地址未被端口学习到的用户报文; 未通过认证的用户报文。
1、端口安全模式描述:
| 安全模式 |
工作机制 |
NTK/入侵检测 |
||
| 缺省情况 |
noRestrictions |
表示端口的安全功能关闭,端口处于无限制状态 |
无效 |
|
| 端口控制MAC地址学习 |
autoLearn |
端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中 当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 该模式下,端口禁止学习动态MAC地址 |
可触发 |
|
| secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
|||
| 配置任务 |
说明 |
|
| 使能端口安全功能 |
必选 |
|
| 配置端口安全允许的最大MAC地址数 |
可选 |
|
| 配置端口安全模式 |
必选 |
|
| 配置端口安全的特性 |
配置Need To Know特性 |
可选 根据实际组网需求选择其中一种或多种特性 |
| 配置入侵检测特性 |
||
| 配置Trap特性 |
||
| 配置安全MAC地址 |
可选 |
|
| 配置当前端口不应用服务器下发的授权信息 |
可选 |
|
二、步骤说明:
1、使能端口安全功能
| 操作 |
命令 |
说明 |
| 进入系统视图 |
system-view |
- |
| 使能端口安全功能 |
port-security enable |
必选 缺省情况下,端口安全功能处于关闭状态 |
2、配置端口安全允许的最大MAC地址数
| 操作 |
命令 |
说明 |
| 进入系统视图 |
system-view |
- |
| 进入二层以太网端口视图 |
interface interface-type interface-number |
- |
| 配置端口安全允许的最大MAC地址数 |
port-security max-mac-count count-value |
必选 缺省情况下,最大MAC地址数不受限制 |
3、配置端口安全安全模式
| 操作 |
命令 |
说明 |
| 进入系统视图 |
system-view |
- |
| 配置允许通过认证的用户OUI值 |
port-security oui oui-value index index-value |
可选 缺省情况下,没有配置允许通过认证的用户OUI值 该命令仅在配置userlogin-withoui安全模式时必选 |
| 进入二层以太网端口视图 |
interface interface-type interface-number |
- |
| 配置端口的安全模式 |
port-security port-mode { autolearn | mac-authentication| mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必选 缺省情况下,端口处于noRestrictions模式 |
4、配置入侵检测特性
| 操作 |
命令 |
说明 |
| 进入系统视图 |
system-view |
- |
| 进入二层以太网端口视图 |
interface interface-type interface-number |
- |
| 配置入侵检测特性 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必选 缺省情况下,不进行入侵检测处理 |
| 退回系统视图 |
quit |
- |
| 配置系统暂时关闭端口连接的时间 |
port-security timer disableport time-value |
可选 缺省情况下,系统暂时关闭端口连接的时间为20秒 |
5、配置安全MAC地址
在配置安全MAC地址之前,需要完成以下配置任务:
使能端口安全功能
设置端口安全允许的最大MAC地址数
配置端口安全模式为autoLearn
| 操作 |
命令 |
说明 |
|
| 进入系统视图 |
system-view |
- |
|
| 配置安全MAC地址的老化时间 |
port-security timer autolearn aging time-value |
可选 缺省情况下,安全MAC地址不会老化 |
|
| 配置安全MAC地址 |
在系统视图下 |
port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id |
二者必选其一 缺省情况下,未配置安全MAC地址 |
| 在二层以太网端口视图下 |
interface interface-type interface-number |
||
| port-security mac-address security [ sticky ] mac-address vlan vlan-id |
|||
| quit |
|||
| 进入二层以太网端口视图 |
interface interface-type interface-number |
- |
|
| 配置安全地址的老化方式为无流量老化 |
port-security mac-address aging-type inactivity |
可选 缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化 |
|
| 将Sticky MAC地址设置为动态类型的安全MAC地址 |
port-security mac-address dynamic |
可选 缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失 |
|
案例:
[office-2F-UPS-S3100I]port-security enable #使能端口安全
interface Ethernet1/0/4
port access vlan 19
port-security max-mac-count 1 #最多允许1个MAC地址
port-security port-mode autolearn #端口安全模式
port-security intrusion-mode disableport #入侵检测,并执行对应操作
port-security mac-address security sticky f48e-38f8-e144 vlan 19 #检测到设备之后,自动绑定MAC和vlan
[office-2F-UPS-S3100I]display port-security interface Ethernet 1/0/4
Equipment port-security is enabled
Intrusion trap is enabled
AutoLearn aging time is 0 minutes
Disableport Timeout: 20s
OUI value:
Ethernet1/0/4 is link-down
Port mode is secure
NeedToKnow mode is disabled
Intrusion Protection mode is DisablePort
Max MAC address number is 1
Stored MAC address number is 1
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute