i目录1端口安全............................................................................................................................................1-11.1端口安全简介.....................................................................................................................................1-11.1.1端口安全概述..........................................................................................................................1-11.1.2端口安全模式..........................................................................................................................1-11.1.3端口安全特性..........................................................................................................................1-61.2端口安全配置.....................................................................................................................................1-71.2.2启动端口安全功能...................................................................................................................1-71.2.3配置端口允许接入的最大MAC地址数.....................................................................................1-81.2.4配置端口安全模式...................................................................................................................1-81.2.5配置端口安全的相关特性........................................................................................................1-91.2.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN.................................1-101.2.7配置当前端口不应用RADIUS服务器下发的授权信息...........................................................1-111.2.8SecureMAC地址的相关配置................................................................................................1-121.3端口安全配置显示...........................................................................................................................1-131.4端口安全配置举例...........................................................................................................................1-131.4.1端口安全autolearn模式配置举例..........................................................................................1-131.4.2端口安全macAddressWithRadius模式配置举例...................................................................1-141.4.3端口安全userLoginWithOUI模式配置举例............................................................................1-161.4.4端口安全macAddressElseUserLoginSecureExt模式配置举例.............................................1-181.4.5端口安全macAddressAndUserLoginSecureExt模式配置举例..............................................1-201.4.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN配置举例...................1-222端口绑定............................................................................................................................................2-12.1端口绑定配置.....................................................................................................................................2-12.1.1端口绑定简介..........................................................................................................................2-12.1.2端口绑定配置..........................................................................................................................2-12.2端口绑定配置显示.............................................................................................................................2-22.3端口绑定配置举例.............................................................................................................................2-22.3.1端口绑定配置举例...................................................................................................................2-21-11端口安全z新增“端口安全支持GuestVLAN”特性,具体请参见1.2.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN。z新增“配置自动学习到的SecureMAC地址表项的老化时间”特性,具体请参见1.2.82.配置端口自动学习到的SecureMAC地址表项的老化时间。1.1端口安全简介1.1.1端口安全概述端口安全(PortSecurity)是一种对网络接入进行控制的安全机制,是对已有的802.1x认证和MAC地址认证的扩充。端口安全的主要功能就是用户通过定义各种安全模式,来控制端口上的MAC地址学习或对用户进行认证,从而让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,对于交换机不能通过安全模式学习到其源MAC地址的报文,系统将视为非法报文;对于不能通过802.1x认证或MAC地址认证的事件,将被视为非法事件。当发现非法报文或非法事件后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。1.1.2端口安全模式用户通过定义各种安全模式,从而使设备根据定义学习到合法的源MAC地址,以达到相应的网络管理效果。1-2表1-1端口安全模式描述表应用对应安全模式autoLearn控制MAC地址学习secureUserloginuserLoginSecureuserLoginSecureExt端口采用802.1X认证userLoginWithOUI端口采用MAC地址认证macAddressWithRadiusmacAddressAndUserLoginSecureand模式macAddressAndUserLoginSecureExtmacAddressElseUserLoginSecureelse模式macAddressElseUserLoginSecureExtmacAddressOrUserLoginSecure端口采用MAC地址和802.1X组合认证or模式macAddressOrUserLoginSecureExt由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:z“userLogin”表示基于端口的802.1X认证;z“macAddress”表示MAC地址认证;z“and”表示基于端口的802.1X认证和MAC地址认证的双重认证,只有在这两个认证都成功后才允许接入网络;z“Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式;z“Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式;z携带“Secure”的userLogin表示基于MAC地址的802.1X认证。z携带“Ext”表示可允许多个802.1X用户认证成功。1.autoLearn模式与secure模式z在autoLearn模式下,可通过手工配置或通过动态进行MAC学习,此时MAC地址称为SecureMAC;只有源MAC为SecureMAC或已配置的动态MAC的报文,才能通过该端口;当端口下的SecureMAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的SecureMAC,并且端口模式会自动转变为secure。z如果直接将端口安全模式设置为secure模式,将禁止端口学习MAC地址,只有已配置的静态或动态MAC的报文,才能通过该端口。报文处理流程如图1-1:1-3图1-1autoLearn模式与sec