华为12-端口安全-端口绑定操作

最大 MAC 地址数
count-value
可选
缺省情况下，最大 MAC 地址数不受限制
设置 Need To Know 特性的报文传送模式
port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts }
必选
缺ห้องสมุดไป่ตู้情况下，系统没有设 置端口 NTK 特性的报文 传送模式
1.1.2 端口安全的特性
端口安全的特性包括： (1) NTK：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的 MAC
地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃 听网络数据。 (2) Intrusion Protection：该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作， 包括暂时断开端口连接、永久断开端口连接或是过滤此 MAC 地址的报文，保 证了端口的安全性。 (3) Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正 常上下线等原因引起）传送时，设备将会发送 Trap 信息，便于网络管理员对 这些特殊的行为进行监控。
第 2 章 端口绑定 .....................................................................................................................2-1 2.1 端口绑定配置 ..................................................................................................................... 2-1 2.1.1 端口绑定简介........................................................................................................... 2-1 2.1.2 端口绑定配置........................................................................................................... 2-1 2.2 端口绑定配置显示 .............................................................................................................. 2-1 2.3 端口绑定配置举例 .............................................................................................................. 2-2
设置 Intrusion Protection 特性被触 发后，设备采取的相 应动作
port-security intrusion-mode { disableport | disableport-temporarily | blockmac }
必选
缺省情况下，系统没有设 置设备采取的安全模式
当端口从正常模式进入此安全模式时，端口下原 有的动态 MAC 地址表项和已认证的 MAC 地址表 项将被自动删除
userlogin-withoui
mac-authenticatio n userlogin-secureor-mac
与 userlogin-secure 类似，端口最多只允许一个 802.1x 认证用户，但同时，端口还允许一个 oui 地址的报文通过； 当用户从端口的正常模式进入此模式时，端口下 原有的动态 MAC 地址表项和已认证的 MAC 地址 表项将被自动删除
表示先进行 mac-authentication 认证，如果成功 则表明认证通过，如果失败则再进行 userlogin-secure 认证
userlogin-secure- 与 userlogin-secure 类似，但端口下的 802.1x
ext
认证用户可以有多个
userlogin-secure- 与 userlogin-secure-or-mac 类似，但端口下的
当端口下的 Security MAC 地址数超过 port-security max-mac-count 命令配置的数目 后，端口模式会自动转变为 secure 模式；
之后，该端口不会再添加新的 Security MAC，只 有源 MAC 为 Security MAC 或已配置的动态 MAC 的报文，才能通过该端口
1.1.3 端口安全的模式
对于端口安全模式的具体描述，请参见表 1-1。
1-1
Quidway S3900 系列以太网交换机 操作手册-Release 1510 端口安全-端口绑定
第 1 章 端口安全
表1-1 端口安全模式描述表
安全模式类型
描述
特性说明
autolearn
此模式下，端口学习到的 MAC 地址会转变为 Security MAC 地址；
i
Quidway S3900 系列以太网交换机 操作手册-Release 1510 端口安全-端口绑定
第 1 章 端口安全
第1章 端口安全
1.1 端口安全简介
1.1.1 端口安全概述
端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的 802.1x 认证和 MAC 地址认证的扩充。 Port Security 的主要功能就是通过定义各种安全模式，让设备学习到合法的源 MAC 地址，以达到相应的网络管理效果。 对于不能通过安全模式学习到源 MAC 地址的报文，将被视为非法报文；对于不能 通过 802.1x 认证的事件，将被视为非法事件。 当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动 进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。
在左侧列出的模式 下，当设备发现非法 报文后，将触发 NTK 特性和 Intrusion Protection 特性
secure
禁止端口学习 MAC 地址，只有源 MAC 为端口已 经学习到的 Security MAC、已配置的静态 MAC 或已配置的动态 MAC 的报文，才能通过该端口
userlogin
Quidway S3900 系列以太网交换机 操作手册-Release 1510 端口安全-端口绑定
目录
目录
第 1 章 端口安全 .....................................................................................................................1-1 1.1 端口安全简介 ..................................................................................................................... 1-1 1.1.1 端口安全概述........................................................................................................... 1-1 1.1.2 端口安全的特性 ....................................................................................................... 1-1 1.1.3 端口安全的模式 ....................................................................................................... 1-1 1.2 端口安全配置 ..................................................................................................................... 1-3 1.2.1 配置端口安全基本特性 ............................................................................................ 1-3 1.2.2 配置Security MAC地址............................................................................................ 1-4 1.3 端口安全配置显示 .............................................................................................................. 1-6 1.4 端口安全配置举例 .............................................................................................................. 1-6
对接入用户采用基于端口的 802.1x 认证
此模式下 NTK 特性 和 Intrusion Protection 特性不会 被触发
userlogin-secure
接入用户必须先通过 802.1x 认证，认证成功后端 口开启，但也只允许认证成功的用户报文通过；
此模式下，端口最多只允许接入一个经过 802.1x 认证的用户；
值
index-value
可选
打开指定 Trap 信息的 发送开关
port-security trap { addresslearned | intrusion | dot1xlogon | dot1xlogoff | dot1xlogfailure | ralmlogon | ralmlogoff | ralmlogfailure }*
基于 MAC 地址对接入用户进行认证
表示 mac-authentication 和 userlogin-secure 两种模式只要通过其中一种，即表明认证通过
在左侧列出的模式 下，当设备发现非法 报文后，将触发 Need To Know 特性 和 Intrusion Protection 特性
mac-else-userlogi n-secure
or-mac-ext
802.1x 认证用户可以有多个
mac-else-userlogi 与 mac-else-userlogin-secure 类似，但端口下
n-secure-ext
的 802.1x 认证用户可以有多个
1-2
Quidway S3900 系列以太网交换机 操作手册-Release 1510 端口安全-端口绑定
可选
缺省情况下，Trap 信息的 发送开关处于关闭状态
进入以太网端口视图 interface interface-type interface-number
配置端口的安全模式 port-security port-mode mode
-
必选 根据实际需要，用户可以 配置不同的安全模式
设置端口允许接入的 port-security max-mac-count
1.2 端口安全配置
第 1 章 端口安全
1.2.1 配置端口安全基本特性
表1-2 配置端口安全基本特性
操作
命令
说明
进入系统视图
system-view
-
使能端口安全机制 port-security enable
必选
设置用户认证的 OUI port-security oui OUI-value index