H3C S3100-52P以太网交换机 操作手册-Release 1702-6W100-端口安全-端

i目录1端口安全............................................................................................................................................1-11.1端口安全简介.....................................................................................................................................1-11.1.1端口安全概述..........................................................................................................................1-11.1.2端口安全模式..........................................................................................................................1-11.1.3端口安全特性..........................................................................................................................1-61.2端口安全配置.....................................................................................................................................1-71.2.2启动端口安全功能...................................................................................................................1-71.2.3配置端口允许接入的最大MAC地址数.....................................................................................1-81.2.4配置端口安全模式...................................................................................................................1-81.2.5配置端口安全的相关特性........................................................................................................1-91.2.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN.................................1-101.2.7配置当前端口不应用RADIUS服务器下发的授权信息...........................................................1-111.2.8SecureMAC地址的相关配置................................................................................................1-121.3端口安全配置显示...........................................................................................................................1-131.4端口安全配置举例...........................................................................................................................1-131.4.1端口安全autolearn模式配置举例..........................................................................................1-131.4.2端口安全macAddressWithRadius模式配置举例...................................................................1-141.4.3端口安全userLoginWithOUI模式配置举例............................................................................1-161.4.4端口安全macAddressElseUserLoginSecureExt模式配置举例.............................................1-181.4.5端口安全macAddressAndUserLoginSecureExt模式配置举例..............................................1-201.4.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN配置举例...................1-222端口绑定............................................................................................................................................2-12.1端口绑定配置.....................................................................................................................................2-12.1.1端口绑定简介..........................................................................................................................2-12.1.2端口绑定配置..........................................................................................................................2-12.2端口绑定配置显示.............................................................................................................................2-22.3端口绑定配置举例.............................................................................................................................2-22.3.1端口绑定配置举例...................................................................................................................2-21-11端口安全z新增“端口安全支持GuestVLAN”特性，具体请参见1.2.6端口在macAddressOrUserLoginSecure安全模式下支持GuestVLAN。z新增“配置自动学习到的SecureMAC地址表项的老化时间”特性，具体请参见1.2.82.配置端口自动学习到的SecureMAC地址表项的老化时间。1.1端口安全简介1.1.1端口安全概述端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。端口安全的主要功能就是用户通过定义各种安全模式，来控制端口上的MAC地址学习或对用户进行认证，从而让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过802.1x认证或MAC地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。1.1.2端口安全模式用户通过定义各种安全模式，从而使设备根据定义学习到合法的源MAC地址，以达到相应的网络管理效果。1-2表1-1端口安全模式描述表应用对应安全模式autoLearn控制MAC地址学习secureUserloginuserLoginSecureuserLoginSecureExt端口采用802.1X认证userLoginWithOUI端口采用MAC地址认证macAddressWithRadiusmacAddressAndUserLoginSecureand模式macAddressAndUserLoginSecureExtmacAddressElseUserLoginSecureelse模式macAddressElseUserLoginSecureExtmacAddressOrUserLoginSecure端口采用MAC地址和802.1X组合认证or模式macAddressOrUserLoginSecureExt由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解：z“userLogin”表示基于端口的802.1X认证；z“macAddress”表示MAC地址认证；z“and”表示基于端口的802.1X认证和MAC地址认证的双重认证，只有在这两个认证都成功后才允许接入网络；z“Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式；z“Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式；z携带“Secure”的userLogin表示基于MAC地址的802.1X认证。z携带“Ext”表示可允许多个802.1X用户认证成功。1.autoLearn模式与secure模式z在autoLearn模式下，可通过手工配置或通过动态进行MAC学习，此时MAC地址称为SecureMAC；只有源MAC为SecureMAC或已配置的动态MAC的报文，才能通过该端口；当端口下的SecureMAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口不会再添加新的SecureMAC，并且端口模式会自动转变为secure。z如果直接将端口安全模式设置为secure模式，将禁止端口学习MAC地址，只有已配置的静态或动态MAC的报文，才能通过该端口。报文处理流程如图1-1：1-3图1-1autoLearn模式与sec