12-端口安全-端口绑定操作

目录 1 端口安全... 1-1 1.1 端口安全简介... 1-1 1.1.1 端口安全概述...1-1 1.1.2 端口安全的特性...1-1 1.1.3 端口安全的模式...1-1 1.2 端口安全配置... 1-3 1.2.1 启动端口安全功能... 1-3 1.2.2 配置端口允许接入的最大 MAC 地址数... 1-4 1.2.3 配置端口安全模式... 1-4 1.2.4 配置端口安全的相关特性... 1-5 1.2.5 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN... 1-6 1.2.6 配置当前端口不应用 RADIUS 服务器下发的授权信息... 1-7 1.2.7 配置 Security MAC 地址... 1-8 1.3 端口安全配置显示...1-9 1.4 端口安全配置举例...1-10 1.4.1 端口安全配置举例... 1-10 1.4.2 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN 配置举例... 1-11 2 端口绑定... 2-1 2.1 端口绑定配置... 2-1 2.1.1 端口绑定简介...2-1 2.1.2 端口绑定配置...2-1 2.2 端口绑定配置显示...2-2 2.3 端口绑定配置举例...2-2 i

1 端口安全 1.1 端口安全简介 1.1.1 端口安全概述端口安全 (Port Security) 是一种对网络接入进行控制的安全机制, 是对已有的 802.1x 认证和 MAC 地址认证的扩充 Port Security 的主要功能就是用户通过定义各种安全模式, 让设备学习到合法的源 MAC 地址, 以达到相应的网络管理效果启动了端口安全功能之后, 对于交换机不能通过安全模式学习到其源 MAC 地址的报文, 系统将视为非法报文 ; 对于不能通过 802.1x 认证或 MAC 地址认证的事件, 将被视为非法事件当发现非法报文或非法事件后, 系统将触发相应特性, 并按照预先指定的方式自动进行处理, 减少了用户的维护工作量, 极大地提高了系统的安全性和可管理性 1.1.2 端口安全的特性端口安全的特性包括 : NTK 特性 :NTK(Need To Know) 特性通过检测从端口发出的数据帧的目的 MAC 地址, 保证数据帧只能被交换机发送到已经通过认证的设备上, 从而防止非法设备窃听网络数据 Intrusion Protection 特性 : 该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认证的用户名密码, 发现非法报文或非法事件, 并采取相应的动作, 包括暂时断开端口连接永久断开端口连接或是过滤源地址是此 MAC 地址的报文, 保证了端口的安全性 Trap 特性 : 该特性是指当端口有特定的数据包 ( 由非法入侵, 用户不正常上下线等原因引起 ) 传送时, 设备将会发送 Trap 信息, 便于网络管理员对这些特殊的行为进行监控 1.1.3 端口安全的模式对于端口安全模式的具体描述, 请参见表 1-1 表 1-1 端口安全模式描述表安全模式类型描述特性说明 norestriction autolearn secure 此模式下, 端口处于无限制状态此模式下, 端口学习到的 MAC 地址会转变为 Security MAC 地址 ; 当端口下的 Security MAC 地址数超过 port-security max-mac-count 命令配置的数目后, 端口模式会自动转变为 secure 模式 ; 之后, 该端口不会再添加新的 Security MAC, 只有源 MAC 为 Security MAC 的报文, 才能通过该端口禁止端口学习 MAC 地址, 只有源 MAC 为端口已经学习到的 Security MAC 已配置的静态 MAC 的报文, 才能通过该端口此模式下,NTK 特性和 Intrusion Protection 特性不会被触发在左侧列出的模式下, 当设备发现非法报文后, 将触发 NTK 特性和 Intrusion Protection 特性 1-1

安全模式类型描述特性说明 userlogin userloginsecure userloginsecureext userloginwithoui macaddresswithrad ius macaddressoruserl oginsecure macaddressoruserl oginsecureext macaddresselseuse rloginsecure macaddresselseuse rloginsecureext macaddressanduse rloginsecure macaddressanduse rloginsecureext 对接入用户采用基于端口的 802.1x 认证对接入用户采用基于 MAC 的 802.1x 认证, 认证成功后端口开启, 但也只允许认证成功的用户报文通过 ; 此模式下, 端口最多只允许接入一个经过 802.1x 认证的用户 ; 当端口从 norestriction 模式进入此安全模式时, 端口下原有的动态 MAC 地址表项和已认证的 MAC 地址表项将被自动删除与 userloginsecure 类似, 但端口下的 802.1x 认证用户可以有多个与 userloginsecure 类似, 端口最多只允许一个 802.1x 认证用户, 但同时, 端口还允许一个 OUI(Organizationally Unique Identifier 是一个全球唯一的标识符, 是 MAC 地址的前 24 位 ) 地址的报文通过 ; 当端口从 norestriction 模式进入此模式时, 端口下原有的动态 MAC 地址表项和已认证的 MAC 地址表项将被自动删除对接入用户采用 MAC 地址认证 MAC 地址认证和 802.1x 认证可以同时共存, 但 802.1x 认证优先级大于 MAC 地址认证 ; 接入用户通过 MAC 地址认证后, 仍然可以进行 802.1x 认证 ; 接入用户通过 802.1x 认证后, 不再进行 MAC 地址认证 ; 此模式下, 端口最多只允许接入一个经过认证的 802.1x 用户, 但端口下经过认证的 MAC 地址认证用户可以有多个与 macaddressoruserloginsecure 类似, 但此模式下, 端口允许经过认证的 802.1x 用户可以有多个接入用户可以进行 MAC 地址认证或 802.1x 认证, 当其中一种方式认证成功则表明认证通过 ; 此模式下, 端口最多只允许接入一个经过认证的 802.1x 用户, 但端口下经过认证的 MAC 地址认证用户可以有多个与 macaddresselseuserloginsecure 类似, 但此模式下, 端口允许经过认证的 802.1x 用户可以有多个对接入用户先进行 MAC 地址认证, 当 MAC 地址认证成功后, 再进行 802.1x 认证只有在这两种认证都成功的情况下, 才允许该用户接入网络 ; 此模式下, 端口最多只允许一个用户接入网络与 macaddressanduserloginsecure 类似, 但此模式下, 端口允许接入网络的用户可以有多个此模式下 NTK 特性和 Intrusion Protection 特性不会被触发在左侧列出的模式下, 当设备发现非法报文或非法事件后, 将触发 Need To Know 特性和 Intrusion Protection 特性 1-2

当端口工作在 userlogin-withoui 模式下时, 即使 OUI 地址不匹配, 也不会触发 Intrusion Protection 特性在 macaddresselseuserloginsecure 或 macaddresselseuserloginsecureext 安全模式下, 接入用户在 MAC 地址认证失败后, 该用户的 MAC 地址将被设置为静默 MAC 如果此时, 该接入用户还要进行 802.1x 认证, 则在静默期间, 交换机不处理该用户的认证功能, 静默之后交换机才允许该用户进行 802.1x 认证对于工作在端口安全模式下的端口, 当该端口接收到源 MAC 地址和已配置的动态 MAC 匹配的二层转发报文时, 交换机将允许报文通过该端口 1.2 端口安全配置表 1-2 端口安全配置任务简介配置任务说明详细配置启动端口安全功能必选 1.2.1 配置端口允许的最大 MAC 地址数可选 1.2.2 配置端口安全模式必选 1.2.3 配置端口安全的相关特性配置 NTK 特性配置 Intrusion Protection 特性配置 Trap 特性可选根据实际组网需求选择其中一种或多种特性 1.2.4 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN 可选 1.2.5 配置当前端口不应用 RADIUS 服务器下发的授权信息可选 1.2.6 配置 Security MAC 地址可选 1.2.7 1.2.1 启动端口安全功能 1. 配置准备在启动端口安全功能之前, 需要关闭全局的 802.1x 和 MAC 地址认证功能 2. 启动端口安全功能表 1-3 启动端口安全功能操作命令说明进入系统视图 system-view - 启动端口安全功能 port-security enable 必选缺省情况下, 端口安全功能处于关闭状态 1-3

当用户启动端口安全功能后, 端口的如下配置会被自动恢复为 ( 括弧内的 ) 缺省情况 : 802.1x 认证 ( 关闭 ) 端口接入控制方式(macbased) 端口接入控制模式(auto); MAC 地址认证 ( 关闭 ) 且以上配置不能再进行手动配置, 只能随端口安全模式的改变由系统配置关于 802.1x 认证的详细介绍, 请参见 802.1x 及 System-Guard 中的相关内容关于 MAC 地址认证的详细介绍, 请参见 MAC 地址认证中的相关内容 1.2.2 配置端口允许接入的最大 MAC 地址数端口安全允许某个端口下有多个用户通过认证, 但是允许的用户数不能超过设置的最大值配置端口允许的最大 MAC 地址数有两个作用 : 控制能够通过某端口接入网络的最大用户数 ; 控制端口安全能够添加的 Security MAC 地址数该配置与 MAC 地址管理中配置的端口最多可以学习到的 MAC 地址数无关表 1-4 配置端口允许接入的最大 MAC 地址数操作命令说明进入系统视图 system-view - 进入以太网端口视图配置端口允许接入的最大 MAC 地址数 interface interface-type interface-number port-security max-mac-count count-value - 必选缺省情况下, 最大 MAC 地址数不受限制 1.2.3 配置端口安全模式表 1-5 配置端口安全模式操作命令说明进入系统视图 system-view - 可选设置用户认证的 OUI 值 port-security oui OUI-value index index-value 在端口安全模式为 userloginwithoui 时, 端口除了可以允许一个 802.1x 的接入用户通过认证之外, 还可以允许一个指定 OUI 值的源 MAC 地址的用户通过认证进入以太网端口视图 interface interface-type interface-number - 1-4

操作命令说明配置端口的安全模式 port-security port-mode { autolearn mac-and-userlogin-secure mac-and-userlogin-secure-ext mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext secure userlogin userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext userlogin-withoui } 必选缺省情况下, 端口处于 norestriction 模式, 此时该端口处于无限制状态根据实际需要, 用户可以配置不同的安全模式当用户配置端口安全模式为 autolearn 时, 首先需要使用 port-security max-mac-count 命令设置端口允许接入的最大 MAC 地址数当端口工作于 autolearn 模式时, 无法更改端口允许接入的最大 MAC 地址数在用户配置端口安全模式为 autolearn 后, 不能在该端口上配置静态或黑洞 MAC 地址当端口安全模式不是 norestriction 时, 若要改变端口安全模式, 必须首先执行 undo port-security port-mode 命令恢复端口安全模式为 norestriction 模式在已经配置了安全模式的端口下, 将不能再进行以下配置 : 配置最大 MAC 地址学习个数 ; 配置镜像反射端口 ; 配置端口汇聚 1.2.4 配置端口安全的相关特性 1. 配置 NTK 特性表 1-6 配置 NTK 特性操作命令说明进入系统视图 system-view - 进入以太网端口视图配置 Need To Know 特性 interface interface-type interface-number port-security ntk-mode { ntkonly ntk-withbroadcasts ntk-withmulticasts } - 必选缺省情况下, 没有配置 Need To Know 特性, 即所有报文都可成功发送 2. 配置 Intrusion Protection 特性表 1-7 配置 Intrusion Protection 特性操作命令说明进入系统视图 system-view - 进入以太网端口视图设置 Intrusion Protection 特性被触发后, 交换机采取的相应动作 interface interface-type interface-number port-security intrusion-mode { blockmac disableport disableport-temporarily } - 必选缺省情况下, 没有配置 Intrusion Protection 特性 1-5

操作命令说明退回系统视图 quit - 设置系统暂时断开端口连接的时间 port-security timer disableport timer 可选缺省情况下, 系统暂时断开端口连接的时间为 20 秒 port-security timer disableport 命令设置的时间值, 是 port-security intrusion-mode 命令设置为 disableport-temporarily 模式时, 系统暂时断开端口连接的时间当用户在同一端口上配置 NTK 特性和配置 port-security intrusion-mode blockmac 命令后, 交换机将无法禁止目的 MAC 地址为非法 MAC 地址的报文从该端口发出, 也就是说 NTK 特性对目的 MAC 地址为非法 MAC 地址的报文不起作用 3. 配置 Trap 特性表 1-8 配置 Trap 特性操作命令说明进入系统视图 system-view - 打开指定 Trap 信息的发送开关 port-security trap { addresslearned dot1xlogfailure dot1xlogoff dot1xlogon intrusion ralmlogfailure ralmlogoff ralmlogon } 必选缺省情况下,Trap 信息的发送开关处于关闭状态 1.2.5 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN Guest VLAN 是用户在认证失败的情况下, 可以访问的指定 VLAN( 有关 Guest VLAN 的详细介绍请参见 802.1x 及 System-Guard ) 对于支持 Guest VLAN 的 macaddressoruserloginsecure 安全模式来说, 每个端口下可连接一个或多个认证用户, 但同一时刻每个端口最多只允许一个用户通过安全认证具体情况如下 : (1) 当端口上连接的首个认证用户触发 802.1x 认证或 MAC 地址认证时 : 如果该用户未通过 802.1x 认证或 MAC 地址认证, 则该端口会被加入到 Guest VLAN, 此后所有在该端口接入的用户将被授权访问 Guest VLAN 里的资源若该用户通过了 802.1x 认证或 MAC 地址认证, 因为端口同一时刻只允许接入一个经过认证的用户, 其他用户的认证请求将不再进行处理 ( 后续认证用户认证失败, 但端口不会加入 Guest VLAN) (2) 当某端口已经加入 Guest VLAN 后 : 1-6

该端口下连的认证用户仍然可以进行 802.1x 认证, 如果有一个用户认证成功, 该端口会离开 Guest VLAN 回到配置的 VLAN 中 ( 加入 Guest VLAN 之前所在的 VLAN, 即初始 VLAN ) 并且不再处理该端口下其他用户的认证请求同样, 该端口仍然允许进行 MAC 地址认证, 但此时 MAC 地址认证不是由用户报文来触发 MAC 地址认证, 而是由交换机每隔一定时间自动利用该端口下学习到的 Guest VLAN 内的首个 MAC 地址触发 MAC 地址认证, 如果认证成功, 端口会离开 Guest VLAN 表 1-9 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN 操作命令说明进入系统视图 system-view - 配置在端口加入 Guest VLAN 后, 交换机触发 MAC 地址认证的周期 port-security timer guest-vlan-reauth interval 可选进入以太网端口视图 interface interface-type interface-number - 配置端口启用 macaddressoruserloginsecure 安全模式指定某个已创建的 VLAN 为当前端口可访的 Guest VLAN port-security port-mode userlogin-secure-or-mac port-security guest-vlan vlan-id 必选必选需要注意的是 : 指定某 VLAN 为当前端口可访的 Guest VLAN 前, 需要确保该 VLAN 已经创建并且该 VLAN 内包含用户需要访问的资源若当前端口下有接入用户正在进行认证或已经通过认证, 则无法为其指定 Guest VLAN 当指定了端口可访问的 Guest VLAN 后, 若端口下挂的用户认证失败, 该端口将被加入到 Guest VLAN 中每个端口下可连接一个或多个认证用户, 若该端口指定了可访问的 Guest VLAN 则同一时刻每个端口最多只允许一个用户通过安全认证 ( 其余的 802.1x 认证用户的客户端会显示认证失败 ; 由于 MAC 地址认证时没有客户端, 因此认证失败且无任何提示 ) 当端口已经指定了 Guest VLAN 的情况下若要改变端口安全模式, 必须首先执行 undo port-security guest-vlan 命令取消给该端口指定的 Guest VLAN 端口只有在 macaddressoruserloginsecure 安全模式下才能指定其可访问的 Guest VLAN 若用户在端口同时指定 Guest VLAN 和配置 port-security intrusion-mode disableport 命令, 当认证失败后, 只触发入侵检测特性, 不会再将该端口加入 Guest VLAN 建议不要在端口上将指定 Guest VLAN 功能和配置 port-security intrusion-mode blockmac 命令同时使用因为如果认证失败, 触发入侵检测 blockmac 特性后, 该接入用户发出的报文将被丢弃, 用户无法访问 Guest VLAN 1.2.6 配置当前端口不应用 RADIUS 服务器下发的授权信息 802.1x 用户或 MAC 地址认证用户在 RADIUS 服务器上通过认证时, 服务器会把授权信息下发给设备端用户可以配置端口是否忽略 RADIUS 服务器下发的授权信息 1-7

表 1-10 配置当前端口不应用 RADIUS 服务器下发的授权信息操作命令说明进入系统视图 system-view - 进入以太网端口视图配置当前端口不应用 RADIUS 服务器下发的授权信息 interface interface-type interface-number port-security authorization ignore - 必选缺省情况下, 端口应用 RADIUS 服务器下发的授权信息 1.2.7 配置 Security MAC 地址在 autolearn 模式下, 可通过手工配置或通过动态进行学习在该端口上产生一张 Security MAC 地址转发表 ( 表中的 MAC 地址称为 Security MAC) 缺省情况下,Security MAC 地址转发表中的表项不会老化一个 Security MAC 地址只能被添加到一个端口上, 利用该特点可以实现同一 VLAN 内 Security MAC 地址与端口间的绑定当配置端口的安全模式为 autolearn 之后, 端口的 MAC 地址学习方式将会发生如下变化 : 端口原有的动态 MAC 被删除 ; 当端口的 Security MAC 没有达到配置的最大数目时, 端口新学到的 MAC 地址会被添加为 Security MAC; 当端口的 Security MAC 到达配置的最大数目时, 端口将不会继续学习 MAC 地址, 端口状态将从 autolearn 状态转变为 secure 状态用户手动配置的 Security MAC 地址会写入配置文件, 端口 Up 或 Down 时不会丢失保存配置文件后, 即使交换机重启,Security MAC 地址也可以恢复 1. 手动添加 Security MAC 地址表项在手动添加 Security MAC 地址表项之前, 需完成以下任务 : 启动端口安全功能 ; 配置端口允许接入的最大 MAC 地址数 ; 配置端口的安全模式为 autolearn 表 1-11 配置 Security MAC 地址操作命令说明进入系统视图 system-view - 添加 Security MAC 地址系统视图下以太网端口视图下 mac-address security mac-address interface interface-type interface-number vlan vlan-id interface interface-type interface-number mac-address security mac-address vlan vlan-id 二者必选其一缺省情况下, 未配置 Security MAC 地址 1-8

2. 配置端口自动学习到的 Security MAC 地址表项的老化时间缺省情况下, 端口自动学习的 Security MAC 表项是不会老化的, 只有当关闭端口安全功能或端口的安全模式不再是 autolearn 之后, 端口学习到的 Security MAC 地址表项才会删除如果用户希望端口自动学习的 Security MAC 地址表项也能进行老化, 可以通过配置合适的老化时间来有效的实现 Security MAC 地址表项的老化当 Security MAC 地址表项的存在时间超过设置的老化时间时, 交换机就会把 Security MAC 地址表项删除表 1-12 配置端口自动学习到的 Security MAC 地址表项的老化时间操作命令说明进入系统视图 system-view - 启动端口安全功能 port-security enable - 配置端口自动学习到的 Security MAC 地址的老化时间 port-security timer autolearn age 必选缺省情况下, 端口自动学习到的 Security MAC 地址的老化时间为 0, 即不进行老化处理进入以太网端口视图 interface interface-type interface-number - 配置端口允许接入的最大 MAC 地址数配置端口的安全模式为 autolearn port-security max-mac-count count-value port-security port-mode autolearn 必选缺省情况下, 最大 MAC 地址数不受限制必选缺省情况下, 端口处于 norestriction 模式, 此时该端口处于无限制状态配置 Security MAC 地址表项的老化时间后, 可通过 display mac-address security 命令查看端口学习到的 Security MAC 地址表项信息时, 虽然老化时间显示为 NOAGED, 但此时交换机已经开始对 Security MAC 地址表项进行老化处理了 1.3 端口安全配置显示完成上述配置后, 在任意视图下执行 display 命令, 可以显示配置端口安全后的运行情况通过查看显示信息, 用户可以验证配置的效果表 1-13 端口安全配置显示操作命令说明显示端口安全配置的相关信息 display port-security [ interface interface-list ] 显示 Security MAC 地址的配置信息 display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] display 命令可以在任意视图下执行 1-9

1.4 端口安全配置举例 1.4.1 端口安全配置举例 1. 组网需求在交换机的端口 Ethernet1/0/1 上对接入用户做如下的限制 : 允许最多 80 个用户自由接入, 不进行认证, 将学习到的用户 MAC 地址添加为 Security MAC 地址 ; 为确保用户 Host 能够接入, 将该用户的 MAC 地址 0001-0002-0003 作为 Security MAC 地址, 添加到 VLAN 1 中 ; 当 Security MAC 地址数量达到 80 后, 停止学习 ; 当再有新的 MAC 地址接入时, 触发 Intrusion Protection 特性, 并将此端口关闭 30 秒 2. 组网图图 1-1 端口安全配置组网图 3. 配置步骤 # 进入系统视图 <Switch> system-view # 启动端口安全功能 [Switch] port-security enable # 进入以太网 Ethernet1/0/1 端口视图 [Switch] interface Ethernet 1/0/1 # 设置端口允许接入的最大 MAC 地址数为 80 [Switch-Ethernet1/0/1] port-security max-mac-count 80 # 配置端口的安全模式为 autolearn [Switch-Ethernet1/0/1] port-security port-mode autolearn # 将 Host 的 MAC 地址 0001-0002-0003 作为 Security MAC 添加到 VLAN 1 中 [Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 设置 Intrusion Protection 特性被触发后, 暂时关闭该端口, 关闭时间为 30 秒 [Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily [Switch-Ethernet1/0/1] quit [Switch] port-security timer disableport 30 1-10

1.4.2 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN 配置举例 1. 组网需求如图 1-2 所示, 交换机的端口 Ethernet1/0/2 下连接着 PC 和打印机两台设备, 这两台设备不同时使用为了保证接入设备的安全访问, 采用端口安全的 macaddressoruserloginsecure 安全模式, 并在该安全模式下应用 Guest VLAN PC 通过 802.1x 认证接入网络, 打印机接入网络时根据 MAC 地址进行 MAC 地址认证 Switch 的端口 Ethernet1/0/3 连接 Internet 网络, 该端口在 VLAN 1 内正常情况下, 设备接入 Switch 的端口 Ethernet1/0/2 也在 VLAN 1 内 VLAN 10 为 Guest VLAN, 在该 VLAN 内包含一个用于客户端软件下载和升级的 Update Server 当用户认证失败后, 端口 Ethernet1/0/2 将会加入 VLAN 10, 此时用户只能访问 VLAN 10 当用户认证成功后, 端口 Ethernet1/0/2 会回到 VLAN 1 图 1-2 端口在 macaddressoruserloginsecure 安全模式下支持 Guest VLAN 组网图 2. 配置步骤下述各配置步骤包含了大部分 AAA/RADIUS 协议配置命令, 对这些命令的介绍, 请参见 AAA 配置此外,802.1x 客户端和 RADIUS 服务器上的配置略 # 配置 RADIUS 方案 2000 <Switch> system-view [Switch] radius scheme 2000 [Switch-radius-2000] primary authentication 10.11.1.1 1812 [Switch-radius-2000] primary accounting 10.11.1.1 1813 [Switch-radius-2000] key authentication abc [Switch-radius-2000] key accounting abc [Switch-radius-2000] user-name-format without-domain [Switch-radius-2000] quit 1-11

# 配置认证域 system, 该域使用已配置的 RADIUS 方案 2000 [Switch] domaim system [Switch-isp-system] scheme radius-scheme 2000 [Switch-isp-system] quit # 配置采用 MAC 地址用户名进行认证, 并指定不使用带有分隔符的小写形式的 MAC 地址作为验证的用户名和密码 [Switch] mac-authentication authmode usernameasmacaddress usernameformat without-hyphen lowercase # 配置 MAC 地址认证用户所使用的 ISP 域 [Switch] mac-authentication domain system # 配置端口安全功能 [Switch] port-security enable # 配置自动进行 MAC 认证的周期为 60 秒 [Switch] port-security timer guest-vlan-reauth 60 # 配置 VLAN 10 [Switch] vlan 10 [Switch vlan10] port Ethernet 1/0/1 # 端口 Ethernet 1/0/2 上配置 macaddressoruserloginsecure 模式 [Switch] interface Ethernet1/0/2 [Switch-Ethernet1/0/2] port-security port-mode userlogin-secure-or-mac # 端口上配置 Guest VLAN [Switch-Ethernet1/0/2] port-security guest-vlan 10 通过命令 display current-configuration 或者 display interface ethernet 1/0/2 可以查看 Guest VLAN 配置情况当用户认证失败后, 通过命令 display vlan 10 可以查看端口配置的 Guest VLAN 是否生效 1-12

2 端口绑定 2.1 端口绑定配置 2.1.1 端口绑定简介绑定是一种简单的安全机制, 通过交换机上的绑定功能, 可以对端口转发的报文进行过滤控制当端口接收到报文后查找绑定表项, 如果报文中的特征项与绑定表项中记录的特征项匹配, 则端口转发该报文, 否则做丢弃处理目前交换机提供灵活的绑定策略, 包括 : 端口 +IP 绑定 : 将报文的接收端口和用户的 IP 地址绑定此时, 交换机只对从该端口收到的指定 IP 地址的用户发出的报文进行转发端口 +MAC 地址绑定 : 将报文的接收端口和用户的 MAC 地址绑定此时, 交换机只对从该端口收到的指定 MAC 地址的用户发出的报文进行转发端口 +MAC 地址 +IP 绑定 : 将用户的 MAC 地址 IP 地址和报文的接收端口绑定此时, 端口若收到源 IP 地址与指定的 IP 地址相同的报文, 则只有该报文的源 MAC 地址与指定的 MAC 地址相同时, 报文才能被转发 ; 端口接收的其它报文 ( 源 IP 地址不在 IP-MAC- 端口绑定关系表中的报文 ) 可正常转发 IP+MAC 地址绑定 : 将 IP 地址和 MAC 地址绑定此时, 如果交换机收到的报文的源 IP 地址与指定的 IP 地址相同, 则只有该报文的源 MAC 地址也与指定的 MAC 地址相同时, 该报文才能被转发同理, 如果报文的源 MAC 地址与指定的 MAC 地址相同, 则也只有报文的源 IP 地址与指定的 IP 地址相同时, 该报文才能被转发所有与端口相关的绑定都是只针对端口的, 当一个端口被绑定后, 仅该端口被限制, 其他端口不受绑定影响目前, 交换机支持基于 IPv4 和 IPv6 地址的端口绑定, 也就是说上文所说的 IP 地址, 既可以为 IPv4 地址, 也可以为 IPv6 地址 2.1.2 端口绑定配置表 2-1 端口绑定配置操作命令说明进入系统视图 system-view - 将用户的 MAC 地址和 IP 地址绑定到指定端口上系统视图下以太网端口视图下 am user-bind mac-addr mac-address { ip-addr ip-address ipv6 ipv6-address } [ interface interface-type interface-number ] interface interface-type interface-number am user-bind { mac-addr mac-address [ ip-addr ip-address ipv6 ipv6-address ] ip-addr ip-address ipv6 ipv6-address } 二者必选其一缺省情况下, 未将用户的 MAC 地址和 IP 地址绑定到指定端口上 2-1

对同一个 MAC 地址和 IP 地址, 系统只允许在端口上进行一次绑定操作不能同时对一个端口进行端口 +IP+MAC 和端口 +IP 的绑定 2.2 端口绑定配置显示完成上述配置后, 在任意视图下执行 display 命令, 可以显示配置端口绑定后的运行情况通过查看显示信息, 用户可以验证配置的效果表 2-2 端口绑定配置显示操作命令说明显示端口绑定的配置信息显示 IPv6 端口绑定的配置信息 display am user-bind [ interface interface-type interface-number ip-addr ip-addr mac-addr mac-addr ] display am user-bind ipv6 [ interface interface-type interface-number ipv6-address mac-addr mac-address unit unit-id ] display 命令可以在任意视图下执行 2.3 端口绑定配置举例 1. 组网需求为了防止小区内有恶意用户盗用 Host 1 的 IP 地址, 需要将 Host 1 的 MAC 地址和 IP 地址绑定到 Switch A 上的 Ethernet1/0/1 端口 2. 组网图图 2-1 端口绑定配置组网图 3. 配置步骤配置 Switch A # 进入系统视图 2-2

<SwitchA> system-view # 进入 Ethernet1/0/1 端口视图 [SwitchA] interface Ethernet 1/0/1 # 将 Host 1 的 MAC 地址和 IP 地址绑定到 Ethernet1/0/1 端口 [SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 2-3