当前位置:文档之家 › 三层交换机22端口安全配置举例

三层交换机22端口安全配置举例

  • 格式:docx
  • 大小:307.81 KB
  • 文档页数:22

下载文档原格式

  / 22
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C S5130-EI 端口安全配置举例

目录

1 简介 (1)

2 配置前提 (1)

3 使用限制 (1)

4 端口安全autoLearn模式配置举例 (1)

4.1 组网需求 (1)

4.2 配置思路 (2)

4.3 使用版本 (2)

4.4 配置注意事项 (2)

4.5 配置步骤 (2)

4.6 验证配置 (3)

4.7 配置文件 (4)

5 端口安全userLoginWithOUI模式配置举例 (4)

5.1 组网需求 (4)

5.2 配置思路 (5)

5.3 使用版本 (5)

5.4 配置步骤 (5)

5.4.1 配置RADIUS Server(iMC PLAT 7.0) (5)

5.4.2 配置Device (9)

5.5 验证配置 (10)

5.6 配置文件 (12)

6 端口安全macAddressElseUserLoginSecure模式配置举例 (12)

6.1 组网需求 (12)

6.2 配置思路 (13)

6.3 使用版本 (13)

6.4 配置步骤 (13)

6.4.1 配置RADIUS Server(iMC PLAT 7.0) (13)

6.4.2 配置Device (16)

6.5 验证配置 (17)

6.6 配置文件 (20)

7 相关资料 (20)

1 简介

本文档介绍端口安全的配置举例。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解端口安全特性。

3 使用限制

•如果已全局开启了802.1X 或MAC 地址认证功能,则无法使能端口安全功能。

•当端口安全功能开启后,端口上的802.1X功能以及MAC 地址认证功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变

由系统更改。

•端口上有用户在线的情况下,端口安全功能无法关闭。

•端口安全模式的配置与端口加入聚合组互斥。

•当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取端口安全所允许的最大MAC 地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt

模式下,端口下所允许的最大用户为配置的端口安全所允许的最大MAC地址数与802.1X认

证所允许的最大用户数的最小值。

•当端口安全已经使能且当前端口安全模式不是noRestrictions 时,若要改变端口安全模式,必须首先执行undo port-security port-mode 命令恢复端口安全模式为noRestrictions 模式。

4 端口安全autoLearn模式配置举例

4.1 组网需求

如图1所示,用户通过Device连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下:

•最多同时允许64 个用户直接通过交换机接入Internet,无需进行认证;

•当用户数量超过设定值后,新用户无法通过Device 接入Internet。

图1 端口安全autoLearn 模式组网图

4.2 配置思路

•配置交换机与用户相连端口的安全模式为autolearn,允许用户自由接入。

•为防止交换机与用户相连端口学习到的MAC 地址的丢失,及安全MAC 地址不老化会带来一些问题,需配置安全MAC 地址并设定安全MAC 地址老化时间(例如30分钟)。

•配置最大安全MAC 地址数为64,当安全MAC 地址数量达到64 后,停止学习;配置入侵检测特性方式为disableport-temporarily,当再有新的MAC 地址接入时,交换机与用

户相连端口被暂时断开连接,30 秒后自动恢复端口的开启状态。

4.3 使用版本

本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。

4.4 配置注意事项

当端口工作于autoLearn 模式时,无法更改端口安全允许的最大MAC 地址数。

4.5 配置步骤

# 使能端口安全。

system-view

[Device] port-security enable

# 设置安全MAC 地址的老化时间为30 分钟。

[Device] port-security timer autolearn aging 30

# 设置端口安全允许的最大安全MAC 地址数为64。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port-security max-mac-count 64

# 设置端口安全模式为autoLearn。

[Device-GigabitEthernet1/0/1] port-security port-mode autolearn

# 设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30 秒。

[Device-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily

[Device-GigabitEthernet1/0/1] quit

[Device] port-security timer disableport 30

相关主题