三层交换机22端口安全配置举例
- 格式:docx
- 大小:307.81 KB
- 文档页数:22
H3C S5130-EI 端口安全配置举例
目录
1 简介 (1)
2 配置前提 (1)
3 使用限制 (1)
4 端口安全autoLearn模式配置举例 (1)
4.1 组网需求 (1)
4.2 配置思路 (2)
4.3 使用版本 (2)
4.4 配置注意事项 (2)
4.5 配置步骤 (2)
4.6 验证配置 (3)
4.7 配置文件 (4)
5 端口安全userLoginWithOUI模式配置举例 (4)
5.1 组网需求 (4)
5.2 配置思路 (5)
5.3 使用版本 (5)
5.4 配置步骤 (5)
5.4.1 配置RADIUS Server(iMC PLAT 7.0) (5)
5.4.2 配置Device (9)
5.5 验证配置 (10)
5.6 配置文件 (12)
6 端口安全macAddressElseUserLoginSecure模式配置举例 (12)
6.1 组网需求 (12)
6.2 配置思路 (13)
6.3 使用版本 (13)
6.4 配置步骤 (13)
6.4.1 配置RADIUS Server(iMC PLAT 7.0) (13)
6.4.2 配置Device (16)
6.5 验证配置 (17)
6.6 配置文件 (20)
7 相关资料 (20)
1 简介
本文档介绍端口安全的配置举例。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解端口安全特性。
3 使用限制
•如果已全局开启了802.1X 或MAC 地址认证功能,则无法使能端口安全功能。
•当端口安全功能开启后,端口上的802.1X功能以及MAC 地址认证功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变
由系统更改。
•端口上有用户在线的情况下,端口安全功能无法关闭。
•端口安全模式的配置与端口加入聚合组互斥。
•当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取端口安全所允许的最大MAC 地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt
模式下,端口下所允许的最大用户为配置的端口安全所允许的最大MAC地址数与802.1X认
证所允许的最大用户数的最小值。
•当端口安全已经使能且当前端口安全模式不是noRestrictions 时,若要改变端口安全模式,必须首先执行undo port-security port-mode 命令恢复端口安全模式为noRestrictions 模式。
4 端口安全autoLearn模式配置举例
4.1 组网需求
如图1所示,用户通过Device连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下:
•最多同时允许64 个用户直接通过交换机接入Internet,无需进行认证;
•当用户数量超过设定值后,新用户无法通过Device 接入Internet。
图1 端口安全autoLearn 模式组网图
4.2 配置思路
•配置交换机与用户相连端口的安全模式为autolearn,允许用户自由接入。
•为防止交换机与用户相连端口学习到的MAC 地址的丢失,及安全MAC 地址不老化会带来一些问题,需配置安全MAC 地址并设定安全MAC 地址老化时间(例如30分钟)。
•配置最大安全MAC 地址数为64,当安全MAC 地址数量达到64 后,停止学习;配置入侵检测特性方式为disableport-temporarily,当再有新的MAC 地址接入时,交换机与用
户相连端口被暂时断开连接,30 秒后自动恢复端口的开启状态。
4.3 使用版本
本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。
4.4 配置注意事项
当端口工作于autoLearn 模式时,无法更改端口安全允许的最大MAC 地址数。
4.5 配置步骤
# 使能端口安全。
[Device] port-security enable
# 设置安全MAC 地址的老化时间为30 分钟。
[Device] port-security timer autolearn aging 30
# 设置端口安全允许的最大安全MAC 地址数为64。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port-security max-mac-count 64
# 设置端口安全模式为autoLearn。
[Device-GigabitEthernet1/0/1] port-security port-mode autolearn
# 设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30 秒。
[Device-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Device-GigabitEthernet1/0/1] quit
[Device] port-security timer disableport 30