12-端口安全-端口绑定操作

H3CS3100系列以太网交换机操作手册端口安全-端口绑定目录i目录第1章端口安全.......................................................................................................................1-11.1端口安全简介.....................................................................................................................1-11.1.1端口安全概述...........................................................................................................1-11.1.2端口安全的特性.......................................................................................................1-11.1.3端口安全的模式.......................................................................................................1-11.2端口安全配置.....................................................................................................................1-41.2.1启动端口安全功能....................................................................................................1-41.2.2配置端口允许接入的最大MAC地址数....................................................................1-51.2.3配置端口安全模式....................................................................................................1-61.2.4配置端口安全的相关特性.........................................................................................1-71.2.5配置当前端口不应用RADIUS服务器下发的授权信息............................................1-81.2.6配置SecurityMAC地址..........................................................................................1-81.3端口安全配置显示..............................................................................................................1-91.4端口安全配置举例............................................................................................................1-101.4.1端口安全配置举例..................................................................................................1-10第2章端口绑定.......................................................................................................................2-12.1端口绑定配置.....................................................................................................................2-12.1.1端口绑定简介...........................................................................................................2-12.1.2端口绑定配置...........................................................................................................2-12.2端口绑定配置显示..............................................................................................................2-12.3端口绑定配置举例..............................................................................................................2-2H3CS3100系列以太网交换机操作手册端口安全-端口绑定第1章端口安全1-1第1章端口安全1.1端口安全简介1.1.1端口安全概述端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。PortSecurity的主要功能就是用户通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过802.1x认证或MAC地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。1.1.2端口安全的特性端口安全的特性包括：NTK特性：NTK（NeedToKnow）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被交换机发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。IntrusionProtection特性：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC地址的报文，保证了端口的安全性。Trap特性：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。1.1.3端口安全的模式对于端口安全模式的具体描述，请参见表1-1。H3CS3100系列以太网交换机操作手册端口安全-端口绑定第1章端口安全1-2表1-1端口安全模式描述表安全模式类型描述特性说明noRestriction此模式下，端口处于无限制状态此模式下，NTK特性和IntrusionProtection特性不会被触发autolearn此模式下，端口学习到的MAC地址会转变为SecurityMAC地址；当端口下的SecurityMAC地址数超过port-securitymax-mac-count命令配置的数目后，端口模式会自动转变为secure模式；之后，该端口不会再添加新的SecurityMAC，只有源MAC为SecurityMAC的报文，才能通过该端口在左侧列出的模式下，当设备发现非法报文后，将触发NTK特性和IntrusionProtection特性secure禁止端口学习MAC地址，只有源MAC为端口已经学习到的SecurityMAC、已配置的静态MAC的报文，才能通过该端口userlogin对接入用户采用基于端口的802.1x认证此模式下NTK特性和IntrusionProtection特性不会被触发H3CS3100系列以太网交换机操作手册端口安全-端口绑定第1章端口安全1-3安全模式类型描述特性说明userLoginSecure对接入用户采用基于MAC的802.1x认证，认证成功后端口开启，但也只允许认证成功的用户报文通过；此模式下，端口最多只允许接入一个经过802.1x认证的用户；当端口从noRestriction模式进入此安全模式时，端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除在左侧列出的模式下，当设备发现非法报文或非法事件后，将触发NeedToKnow特性和IntrusionProtection特性userLoginSecureExt与userLoginSecure类似，但端口下的802.1x认证用户可以有多个userLoginWithOUI与userLoginSecure类似，端口最多只允许一个802.1x认证用户，但同时，端口还允许一个OUI（OrganizationallyUniqueIdentifier是一个全球唯一的标识符，是MAC地址的前24位）地址的报文通过；当端口从noRestriction模式进入此模式时，端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除macAddressWithRadius对接入用户采用MAC地址认证macAddressOrUserLoginSecureMAC地址认证和802.1x认证可以同时共存，但802.1x认证优先级大于MAC地址认证；接入用户通过MAC地址认证后，仍然可以进行802.1x认证；接入用户通过802.1x认证后，不再进行MAC地址认证；此模式下，端口最多只允许接入一个经过认证的802.1x用户，但端口下经过认证的MAC地址认证用户可以有多个macAddressOrUserLoginSecureExt与macAddressOrUserLoginSecure类似，但此模式下，端口允许经过认证的802.1x用户可以有多个macAddressElseUserLoginSecure接入用户可以进行MAC地址认证或802.1x认证，当其中一种方式认证成功则表明认证通过；此模式下，端口最多只允许接入一个经过认证的802.1x用户，但端口下经过认证的MAC地址认证用户可以有多个macAddressElseUserLoginSecureExt与macAddressElseUserLoginSecure类似，但此模式下，端口允许经过认证的802.1x用户可以有多个macAddressAndUserLoginSecure对接入用户先进行MAC地址认证，当MAC地址认证成功后，再进行802.1x认证。只有在这两种认证都成功的情况下，才允许该用户接入网络；此模式下，端口最多只允许一个用户接入网络macAddressAndUserLoginSecureExt与macAddressAndUserLoginSecure类似，但此模式下，端口允许接入网络的用户可以有多个H3CS3100系列以太网交换机操作手册端口安全-端口绑定第1章端口安全1-4说明：当端口工作在userlogin-withoui