三层交换机22端口安全配置举例Word文件下载.docx
- 文档编号:880450
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:29
- 大小:209.48KB
三层交换机22端口安全配置举例Word文件下载.docx
《三层交换机22端口安全配置举例Word文件下载.docx》由会员分享,可在线阅读,更多相关《三层交换机22端口安全配置举例Word文件下载.docx(29页珍藏版)》请在冰点文库上搜索。
∙为防止交换机与用户相连端口学习到的MAC地址的丢失,及安全MAC地址不老化会带来一些问题,需配置安全MAC地址并设定安全MAC地址老化时间(例如30分钟)。
∙配置最大安全MAC地址数为64,当安全MAC地址数量达到64后,停止学习;
配置入侵检测特性方式为disableport-temporarily,当再有新的MAC地址接入时,交换机与用户相连端口被暂时断开连接,30秒后自动恢复端口的开启状态。
4.3使用版本
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
4.4配置注意事项
当端口工作于autoLearn模式时,无法更改端口安全允许的最大MAC地址数。
4.5配置步骤
#使能端口安全。
<
Device>
system-view
[Device]port-securityenable
#设置安全MAC地址的老化时间为30分钟。
[Device]port-securitytimerautolearnaging30
#设置端口安全允许的最大安全MAC地址数为64。
[Device]interfacegigabitethernet1/0/1
[Device-GigabitEthernet1/0/1]port-securitymax-mac-count64
#设置端口安全模式为autoLearn。
[Device-GigabitEthernet1/0/1]port-securityport-modeautolearn
#设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。
[Device-GigabitEthernet1/0/1]port-securityintrusion-modedisableport-temporarily[Device-GigabitEthernet1/0/1]quit
[Device]port-securitytimerdisableport30
4.6验证配置
#上述配置完成后,可以使用displayport-securityinterface命令查看端口安全的配置情况。
[Device]displayport-securityinterfacegigabitethernet1/0/1Portsecurityparameters:
Portsecurity:
EnabledAutoLearnagingtime:
30min
Disableporttimeout:
30sMACmove:
DeniedAuthorizationfail:
Online
NAS-IDprofileisnotconfiguredOUIvaluelist:
GigabitEthernet1/0/1islink-up
Portmode:
autoLearn
NeedToKnowmode:
Disabled
Intrusionprotectionmode:
DisablePortTemporarilySecurityMACaddressattribute
Learningmode:
Sticky
Agingtype:
PeriodicalMaxsecureMACaddresses:
64
CurrentsecureMACaddresses:
5Authorization:
PermittedNAS-IDprofileisnotconfigured
可以看到端口安全所允许的最大安全MAC地址数为64,端口模式为autoLearn,入侵检测保护动
作为DisablePortTemporarily,入侵发生后端口被禁用时间为30秒。
配置生效后,端口允许地址学习,学习到的MAC地址数可在上述显示信息的“CurrentnumberofsecureMACaddresses”字段查看到。
#具体的MAC地址信息可以在二层以太网接口视图下用displaythis命令查看。
[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]displaythis
port-securityintrusion-modedisableport-temporarilyport-securitymax-mac-count64
port-securityport-modeautolearn
port-securitymac-addresssecuritysticky00e0-fc00-5920vlan1port-securitymac-addresssecuritysticky00e0-fc00-592avlan1port-securitymac-addresssecuritysticky00e0-fc00-592bvlan1port-securitymac-addresssecuritysticky00e0-fc00-592cvlan1port-securitymac-addresssecuritysticky00e0-fc00-592dvlan1
#当学习到的MAC地址数达到64后,用命令displayport-securityinterface可以看到端口模式
变为secure,再有新的MAC地址到达将触发入侵保护,可以通过命令displayinterface看到此端口关闭。
30秒后,端口状态恢复。
此时,如果手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。
4.7配置文件
#
port-securityenable
port-securitytimerdisableport30port-securitytimerautolearnaging30
interfaceGigabitEthernet1/0/1
5端口安全userLoginWithOUI模式配置举例
5.1组网需求
如图2所示,用户Host(已安装802.1X客户端软件)和打印机Printer通过交换机Device连接到网络,交换机通过RADIUS服务器对用户进行身份认证,如果认证成功,用户被授权允许访问Internet资源。
IP地址为192.168.0.38的RADIUS服务器作为认证服务器和计费服务器,认证/计费共享密钥为expert。
通过配置端口安全userLoginWithOUI模式,实现对接入用户的控制,具体需求如下:
∙所有接入用户都使用ISP域sun的认证/授权/计费方法;
∙最多允许一个802.1X用户通过端口GigabitEthernet1/0/1接入Internet;
∙允许打印机通过与交换机相连端口实现与Internet资源正常连接;
∙当有非法用户接入时,触发入侵检测,将非法报文丢弃(不对端口进行关闭)。
图2端口安全userLoginWithOUI模式组网图
Host(802.1Xclient)
5.2配置思路
∙配置交换机与用户端相连的端口安全模式为userLoginWithOUI,即:
该端口最多只允许一个802.1X认证用户接入,还允许一个指定OUI的源MAC地址的报文认证通过。
为userLoginWithOUI端口安全模式配置5个OUI值(对应不同厂商的打印机MAC地址的OUI)。
∙配置端口安全的入侵检测功能:
当交换机与用户端相连的端口接收到非法报文后,触发入侵检测,将非法报文丢弃,同时将其源MAC地址加入阻塞MAC地址列表中。
5.3使用版本
5.4配置步骤
5.4.1配置RADIUSServer(iMCPLAT7.0)
下面以iMC为例(使用iMC版本为:
iMCPLAT7.0(E0201)、iMCEIA7.0(E0201)),说明RADIUS
server的基本配置。
#增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
∙设置与Device交互报文时的认证、计费共享密钥为“expert”;
∙设置认证及计费的端口号分别为“1812”和“1813”;
∙选择业务类型为“LAN接入业务”;
∙选择接入设备类型为“H3C(General)”;
∙选择或手工增加接入设备,添加IP地址为192.168.0.34的接入设备;
∙
其它参数采用缺省值,并单击<
确定>
按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。
缺省情况下,设备发送
RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
∙若设备上通过命令nas-ip或者radiusnas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
∙若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为设备连接服务器端的接口的IP
地址192.168.0.34,则此处接入设备IP地址就选择192.168.0.34。
图3增加接入设备
#增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,在该页面中单击<
增加>
按钮,进入增加接入策略配置页面。
∙接入策略名为“802.1X-auth”;
∙其他配置采用页面默认配置即可;
∙单击<
#增加服务配置。
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,在该页面中单击<
按钮,进入增加服务配置页面。
∙输入服务名为“802.1X-auth/acct”;
∙缺省接入策略为“802.1X-auth”;
∙选择计费策略为“不计费”;
∙本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
图4增加服务配置
#增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户列表页面,在该页面中单击<
按钮,进入增加接入用户页面。
∙选择或者手工增加用户姓名为“hello”;
∙输入帐号名“802.1X”和密码802.1X;
∙选择该用户所关联的接入服务为“802.1X-auth/acct”;
图5增加接入用户
5.4.2配置Device
∙下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“安全配置指导”中的“AAA”。
保证客户端和RADIUS服务器之间路由可达。
∙配置AAA
#创建RADIUS方案。
并配置RADIUS方案主认证/计费服务器及其通信密钥。
[Device]radiusschemeradsunNewRADIUSscheme.
[Device-radius-radsun]primaryauthentication192.168.0.38[Device-radius-radsun]primaryaccounting192.168.0.38[Device-radius-radsun]keyauthenticationsimpleexpert[Device-radius-radsun]keyaccountingsimpleexpert
#配置系统向RADIUS服务器重发报文的时间间隔为5秒,重发次数为5次,发送实时计费报文的
时间间隔为15分钟,发送的用户名不带域名。
[Device-radius-radsun]timerresponse-timeout5[Device-radius-radsun]retry5
[Device-radius-radsun]timerrealtime-accounting15[Device-radius-radsun]user-name-formatwithout-domain[Device-radius-radsun]quit
#配置ISP域,并设置为系统缺省的ISP域。
[Device]domainsun
[Device-isp-sun]authenticationlan-accessradius-schemeradsun[Device-isp-sun]authorizationlan-accessradius-schemeradsun[Device-isp-sun]accountinglan-accessradius-schemeradsun[Device-isp-sun]quit
[Device]domaindefaultenablesun
∙配置802.1X
#配置802.1X的认证方式为CHAP。
(该配置可选,缺省情况下802.1X的认证方式为CHAP)
[Device]dot1xauthentication-methodchap
∙配置端口安全
#添加5个OUI值。
(最多可添加16个,此处仅为示例。
最终,端口仅允许一个与某OUI值匹配的用户通过认证)
[Device]port-securityouiindex1mac-address1234-0100-1111[Device]port-securityouiindex2mac-address1234-0200-1111[Device]port-securityouiindex3mac-address1234-0300-1111[Device]port-securityouiindex4mac-address1234-0400-1111[Device]port-securityouiindex5mac-address1234-0500-1111
#设置端口安全模式为userLoginWithOUI。
[Device-GigabitEthernet1/0/1]port-securityport-modeuserlogin-withoui
#设置触发入侵检测功能后,将非法报文丢弃,同时将其源MAC地址加入阻塞MAC地址列表中。
[Device-GigabitEthernet1/0/1]port-securityintrusion-modeblockmac[Device-GigabitEthernet1/0/1]quit
5.5验证配置
#查看名称为radsun的RADIUS方案的配置信息。
[Device]displayradiusschemeradsunRADIUSSchemeName:
radsun
Index:
1
PrimaryAuthServer:
IP:
192.168.0.38
Port:
1812
State:
Active
VPN:
Notconfigured
PrimaryAcctServer:
1813
Accounting-Onfunction:
retransmissiontimes:
50retransmissioninterval(seconds):
3
TimeoutInterval(seconds):
5
RetransmissionTimes:
5RetransmissionTimesforAccountingUpdate:
5ServerQuietPeriod(minutes):
5RealtimeAccountingInterval(minutes):
15
NASIPAddress:
VPN
:
UserNameFormat
without-domain
Dataflowunit
Byte
Packetunit
One
Attribute15check-mode
#查看端口安全的配置信息。
Strict
Portsecurity:
EnabledAutoLearnagingtime:
0minDisableporttimeout:
20sMACmove:
DeniedAuthorizationfail:
1
Value:
123401
2
123402
3
123403
4
123404
5
123405
userLoginWithOUI
DisabledIntrusionprotectionmode:
BlockMacAddressSecurityMACaddressattribute
Periodical
MaxsecureMACaddresses:
NotconfiguredCurrentsecureMACaddresses:
1Authorization:
Permitted
NAS-IDprofileisnotconfigured
配置完成后,如果有802.1X用户上线,则可以通过上述显示信息看到当前端口保存的MAC地址数为1。
还可以通过displaydot1x命令查看该802.1X用户的在线情况。
#可以通过displaymac-addressinterface命令查看端口允许MAC地址与OUI值匹配的用户通过的信息。
[Device]displaymac-addressinterfacegigabitethernet1/0/1MACAddressVLANIDStatePortAging
1234-0300-00111LearnedGE1/0/1Y
5.6配置文件
port-securityouiindex1mac-address1234-0100-0000
port-securityouiindex2mac-address1234-0200-0000
port-securityouiindex3mac-address1234-0300-0000
port-securityouiindex4mac-address1234-0400-0000
port-securityouiindex5mac-address1234-0500-0000
port-securityport-modeuserlogin-w
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 三层 交换机 22 端口 安全 配置 举例
![提示](https://static.bingdoc.com/images/bang_tan.gif)