H3C S3600 系列以太网交换机 命令手册-端口安全-端口绑定
更新时间:2024-04-04 20:17:01 阅读量: 综合文库 文档下载
- h3c路由器怎么设置推荐度:
- 相关推荐
目 录
第1章 端口安全命令..............................................................................................................1-1 1.1 端口安全命令.....................................................................................................................1-1 1.1.1 display mac-address security..................................................................................1-1 1.1.2 display port-security................................................................................................1-1 1.1.3 mac-address security..............................................................................................1-3 1.1.4 port-security enable.................................................................................................1-5 1.1.5 port-security intrusion-mode....................................................................................1-6 1.1.6 port-security authorization ignore............................................................................1-7 1.1.7 port-security max-mac-count...................................................................................1-8 1.1.8 port-security ntk-mode............................................................................................1-9 1.1.9 port-security oui.....................................................................................................1-10 1.1.10 port-security port-mode.......................................................................................1-11 1.1.11 port-security timer disableport.............................................................................1-13 1.1.12 port-security trap.................................................................................................1-13
第2章 端口绑定.....................................................................................................................2-1 2.1 端口绑定命令.....................................................................................................................2-1 2.1.1 am user-bind interface............................................................................................2-1 2.1.2 am user-bind...........................................................................................................2-2 2.1.3 display am user-bind...............................................................................................2-2
端口安全命令
第1章 端口安全命令 1.1 端口安全命令
1.1.1 display mac-address security
【命令】
display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【参数】
interface-type:端口类型。
interface-number:端口编号。
vlan-id:VLAN的ID,取值范围为1~4094。
count:显示Security MAC地址的数量。
【描述】
display mac-address security命令用来显示Security MAC地址的相关信息,包
括:端口学到的MAC地址、端口所属的VLAN ID、端口当前状态、端口编号、MAC 地址的老化时间。
根据该命令的输出信息,用户可以确认当前的配置,有助于故障的监控和诊断。
【举例】
# 显示端口Ethernet1/0/1的Security MAC地址的相关信息。
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0001-0001-0001 1 Security Ethernet1/0/1 NOAGED
--- 1 mac address(es) found on port Ethernet1/0/1 ---
1.1.2 display port-security
【命令】
display port-security [ interface interface-list ]
端口安全命令
【视图】
任意视图
【参数】
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } & <1-10>。
其中,interface-type为端口类型,interface-number为端口编号。& <1-10>表示前 面的参数最多可以输入10次。
【描述】
display port-security命令用来显示端口安全配置的相关信息(包括全局和端口的 配置信息)。根据该命令的输出信息,用户可以确认当前的配置,有助于故障的监 控和诊断。
注意:
.. 如果不指定interface-list参数,则显示全局和所有端口的配置信息; .. 如果指定了interface-list参数,则显示全局和指定端口的配置信息。
【举例】
# 显示全局和所有端口的端口安全配置信息。
Equipment port-security is enabled
AddressLearn trap is Enabled
Intrusion trap is Enabled
Dot1x logon trap is Enabled
Dot1x logoff trap is Enabled
Dot1x logfailure trap is Enabled
RALM logon trap is Enabled
RALM logoff trap is Enabled
RALM logfailure trap is Enabled
Vlan id assigned is NULL
Disableport Timeout: 20 s
OUI value:
Index is 5, OUI value is 00efec
Ethernet1/0/1 is link-down
Port mode is Userlogin
NeedtoKnow mode is needtoknowonly
Intrusion mode is disableport
Max mac-address num is 100
端口安全命令
Stored mac-address num is 0
Authorization is permit
(以下显示信息略)
表1-1 display port-security命令显示信息描述表
字段
描述
Equipment port security is enabled
交换机端口安全特性已经开启
AddressLearn trap is Enabled
MAC地址学习的Trap信息已经打开
Intrusion trap is Enabled
入侵检测的Trap信息已经打开
Dot1x logon trap is Enabled
802.1x用户认证成功的Trap信息已经打开
Dot1x logoff trap is Enabled
802.1x用户下线的Trap信息已经打开
Dot1x logfailure trap is Enabled
802.1x用户认证失败的Trap信息已经打开
RALM logon trap is Enabled
RALM用户认证成功的Trap信息已经打开
RALM logoff trap is Enabled
RALM用户下线的Trap信息已经打开
RALM logfailure trap is Enabled
RALM用户认证失败的Trap信息已经打开
Vlan id assigned is NULL
下发的VLAN为空
Disableport Timeout: 20 s
系统暂时断开端口连接的时间为20秒
OUI value
OUI的值
Ethernet1/0/1 is link-down
端口Ethernet1/0/1的链路状态为down
Port mode is Userlogin
端口安全模式为Userlogin
NeedtoKnow mode is needtoknowonly
NeedtoKnow特性为needtoknowonly
Intrusion mode is disableport
入侵检测动作模式为disableport
Max mac-address num is 100
端口允许接入的最大MAC地址数为100
Stored mac-address num is 0
保存的MAC地址数为0
Authorization is permit
端口将应用RADIUS服务器下发的授权信息
1.1.3 mac-address security
【命令】
mac-address security mac-address [ interface interface-type interface-number ] vlan vlan-id
undo mac-address security mac-address [ interface interface-type interface-number ] vlan vlan-id
端口安全命令
【视图】
系统视图/以太网端口视图
【参数】
interface-type:端口类型。
interface-number:端口编号。
.. 说明:
如果是在系统视图下执行以上命令,则需要配置interface interface-type interface-number参数。
vlan-id:VLAN的ID,取值范围为1~4094。
【描述】
mac-address security命令用来添加Security MAC地址。undo mac-address security命令用来删除配置的Security MAC地址。
缺省情况下,系统没有添加Security MAC地址。
.. 说明:
只有在全局启用端口安全功能,并且端口配置port-security port-mode autolearn 命令之后,才能配置Security MAC地址。
【举例】
# 进入系统视图。
System View: return to User View with Ctrl+Z.
# 使能端口的安全功能。
[H3C] port-security enable
# 进入Ethernet1/0/1以太网端口视图。
[H3C] interface Ethernet1/0/1
# 配置端口允许接入的最大Security MAC地址数为100。
[H3C-Ethernet1/0/1] port-security max-mac-count 100
# 配置端口的安全模式为autolearn。
[H3C-Ethernet1/0/1] port-security port-mode autolearn
# 将Security MAC地址0001-0001-0001添加到VLAN 1中。
无
【描述】
port-security authorization ignore命令用来配置当前端口不应用RADIUS服务器 下发的授权信息。undo port-security authorization ignore命令用来恢复系统的 缺省配置。
缺省情况下,端口将应用RADIUS服务器下发的授权信息。
.. 配置port-security authorization ignore后,如果执行display port-security interface命令,将显示“Authorization is ignore”的信息。
.. 配置undo port-security authorization ignore后,如果执行display port-security interface,将显示“Authorization is permit”的信息。
端口安全命令
【举例】
# 配置端口Ethernet1/0/2不应用RADIUS服务器下发的授权信息。
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet1/0/2
[H3C-Ethernet1/0/2] port-security authorization ignore
1.1.7 port-security max-mac-count
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【视图】
以太网端口视图
【参数】
count-value:最大MAC地址数,取值范围为1~1024。
【描述】
port-security max-mac-count命令用来设置端口允许接入的最大MAC地址数, 该数值包括通过802.1x认证的MAC地址数、通过集中式MAC地址认证的MAC地 址数和Security MAC地址数。undo port-security max-mac-count命令用来取消 该限制。
缺省情况下,端口允许接入的最大MAC地址数不受限制。
【举例】
# 进入系统视图。
System View: return to User View with Ctrl+Z.
# 使能端口的安全功能。
[H3C] port-security enable
# 进入Ethernet1/0/1以太网端口视图。
[H3C] interface Ethernet1/0/1
# 设置端口允许接入的最大MAC地址数为100。
[H3C-Ethernet1/0/1] port-security max-mac-count 100
端口安全命令
1.1.8 port-security ntk-mode
【命令】
port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts }
undo port-security ntk-mode
【视图】
以太网端口视图
【参数】
ntkonly:表示只有目的MAC地址是已认证的MAC地址的单播报文才能被成功传 送。
ntk-withbroadcasts:表示广播报文和目的MAC地址是已认证的MAC地址的单播 报文能够被成功传送。
ntk-withmulticasts:表示组播报文、广播报文以及目的MAC地址是已认证的MAC 地址的单播报文能够被成功传送。
【描述】
port-security ntk-mode命令用来设置NTK特性被触发后报文的传送模式。undo port-security ntk-mode命令用来取消设置的报文传送模式。
缺省情况下,系统没有设置NTK特性被触发后报文的传送模式。
关于NTK特性被触发的具体条件,请参见表1-2。
.. 说明:
NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证 数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
【举例】
# 进入系统视图。
System View: return to User View with Ctrl+Z.
# 使能端口的安全功能。
[H3C] port-security enable
# 进入Ethernet1/0/1以太网端口视图。
[H3C] interface Ethernet1/0/1
# 设置端口Ethernet1/0/1的NTK特性的报文传送模式为ntk-withbroadcasts。
端口安全命令
[H3C-Ethernet1/0/1] port-security ntk-mode ntk-withbroadcasts
1.1.9 port-security oui
【命令】
port-security oui OUI-value index index-value
undo port-security oui index id-value
【视图】
系统视图
【参数】
OUI-value:OUI值,由一个完整的MAC地址(十六进制)表示。注意不能为组播 地址。
index-value:OUI的索引值,取值范围为1~16。
.. 说明:
.. OUI(Organizationally Unique Identifier)是IEEE为不同设备供应商分配的一个 全球唯一的标识符,是MAC地址的前24位。
.. 在以上命令输入OUI-value参数值时,用户只需要输入一个完整的十六进制MAC 地址,设备将自动进行十六进制到二进制的数据转换,并将转换后的二进制数据 的前24位作为OUI值。
【描述】
port-security oui命令用来设置认证中需要的OUI值。undo port-security oui命 令用来取消设置的OUI值。
注意:
该命令设置的OUI值,只有当命令port-security port-mode设置的端口安全模式 为userlogin-withoui时才会生效。
相关命令可以参考port-security port-mode。
【举例】
# 设置一个MAC地址为00ef-ec00-0000的OUI值,索引号为5。
System View: return to User View with Ctrl+Z.
[H3C] port-security oui 00ef-ec00-0000 index 5
端口安全命令
1.1.10 port-security port-mode
【命令】
port-security port-mode mode
undo port-security port-mode
【视图】
以太网端口视图
【参数】
mode:端口的安全模式。关于端口安全模式的具体类型请参见表1-2。
【描述】
port-security port-mode命令用来配置端口的安全模式。undo port-security port-mode命令用来恢复端口的正常工作模式。
Port Security特性的主要功能就是通过定义各种安全模式,让设备学习到合法的源 MAC地址,以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地 址的报文,将被视为非法报文。
对于端口安全模式的具体描述,请参见表1-2。
表1-2 端口安全模式描述表
安全模式类型
描述
特性说明
autolearn
此模式下,端口学习到的MAC地址会转变为
Security MAC地址;
当端口下的Security MAC地址数超过
port-security max-mac-count命令配置的数目 后,端口模式会自动转变为secure模式;
之后,该端口不会再添加新的Security MAC,只 有源MAC为Security MAC或已配置的动态MAC 的报文,才能通过该端口
在左侧列出的模式 下,当设备发现非法 报文后,将触发NTK 特性和Intrusion Protection特性
secure
禁止端口学习MAC地址,只有源MAC为端口已 经学习到的Security MAC、已配置的静态MAC 或已配置的动态MAC的报文,才能通过该端口
userlogin
对接入用户采用基于端口的802.1x认证
此模式下NTK特性 和Intrusion
Protection特性不会 被触发
端口安全命令
userlogin-secure
接入用户必须先通过802.1x认证,认证成功后端 口开启,但也只允许认证成功的用户报文通过;
此模式下,端口最多只允许接入一个经过802.1x 认证的用户;
当端口从正常模式进入此安全模式时,端口下原 有的动态MAC地址表项和已认证的MAC地址表 项将被自动删除
在左侧列出的模式 下,当设备发现非法 报文后,将触发 Need To Know特性 和Intrusion Protection特性
userlogin-withoui
与userlogin-secure类似,端口最多只允许一个 802.1x认证用户,但同时,端口还允许一个oui 地址的报文通过;
当用户从端口的正常模式进入此模式时,端口下 原有的动态MAC地址表项和已认证的MAC地址 表项将被自动删除
mac-authentication
基于MAC地址对接入用户进行认证
userlogin-secure- or-mac
表示mac-authentication和userlogin-secure 两种模式只要通过其中一种,即表明认证通过
mac-else-userlogin-secure
表示先进行mac-authentication认证,如果成功 则表明认证通过,如果失败则再进行 userlogin-secure认证
userlogin-secure- ext
与userlogin-secure类似,但端口下的802.1x 认证用户可以有多个
userlogin-secure-
or-mac-ext
与userlogin-secure-or-mac类似,但端口下的 802.1x认证用户可以有多个
mac-else-userlogin-secure-ext
与mac-else-userlogin-secure类似,但端口下 的802.1x认证用户可以有多个
缺省情况下,端口没有配置安全模式。
【举例】
# 进入系统视图。
System View: return to User View with Ctrl+Z.
# 使能端口的安全功能。
[H3C] port-security enable
# 进入Ethernet1/0/1以太网端口视图。
[H3C] interface Ethernet1/0/1
# 设置交换机Ethernet1/0/1端口为userlogin模式。
[H3C-Ethernet1/0/1] port-security port-mode userlogin
端口安全命令
1.1.11 port-security timer disableport
【命令】
port-security timer disableport timer
undo port-security timer disableport
【视图】
系统视图
【参数】
timer:单位为秒,取值范围为20~300,缺省值为20秒。
【描述】
port-security timer disableport命令用来设置系统暂时断开端口连接的时间。 undo port-security timer disableport命令用来恢复系统暂时断开端口连接时间 的缺省值。
.. 说明:
以上命令设置的时间值,是port-security intrusion-mode命令设置为 disableport-temporarily模式时,系统暂时断开端口连接的时间。
【举例】
# 设置系统断开端口连接的时间为50秒。
System View: return to User View with Ctrl+Z.
[H3C] port-security timer disableport 50
1.1.12 port-security trap
【命令】
port-security trap { addresslearned | intrusion | dot1xlogon | dot1xlogoff | dot1xlogfailure | ralmlogon | ralmlogoff | ralmlogfailure }*
undo port-security trap { addresslearned | intrusion | dot1xlogon | dot1xlogoff | dot1xlogfailure | ralmlogon | ralmlogoff | ralmlogfailure }*
【视图】
系统视图
端口安全命令
【参数】
addresslearned:MAC地址学习。
intrusion:发现入侵报文。
dot1xlogon:802.1x用户上线。
dot1xlogoff:802.1x用户下线。
dot1xlogfailure:802.1x用户认证失败。
ralmlogon:RALM用户上线。
ralmlogoff:RALM用户下线。
ralmlogfailure:RALM用户认证失败。
.. 说明:
RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的 RADIUS认证。
【描述】
port-security trap命令用来打开指定Trap信息的发送开关。undo port-security trap命令用来关闭指定Trap信息的发送开关。
缺省情况下,Trap信息的发送开关处于关闭状态。
.. 说明:
该过程使用了设备的Device Tracking特性。Device Tracking特性是指当端口有特 定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送 Trap信息,便于用户对这些特殊的行为进行监控。
当使用display port-security查看全局信息时,系统将显示哪些Trap信息发送开 关已经打开。
相关命令可以参考display port-security。
【举例】
# 打开发现入侵报文的Trap信息发送开关。
System View: return to User View with Ctrl+Z.
[H3C] port-security trap intrusion
端口绑定
第2章 端口绑定 2.1 端口绑定命令 2.1.1 am user-bind interface
【命令】
am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number
undo am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number
【视图】
系统视图
【参数】
mac-address:绑定的MAC地址值。
ip-address:绑定的IP地址值。
interface-type:端口类型。
interface-number:端口编号。
【描述】
am user-bind interface命令用来将合法用户的MAC地址和IP地址绑定到指定的 端口上。undo am user-bind interface命令用来取消MAC地址和IP地址与指定 端口的绑定。
进行绑定操作后,只有合法用户的报文才能通过端口。
.. 说明:
对同一个MAC地址,系统只允许进行一次绑定操作。
【举例】
# 将MAC地址为00e0-fc00-5101,IP地址为10.153.1.1的合法用户与端口 Ethernet1/0/1进行绑定。
System View: return to User View with Ctrl+Z.
端口绑定
[H3C] am user-bind mac-addr 00e0-fc00-5101 ip-addr 10.153.1.1 interface Ethernet1/0/1
2.1.2 am user-bind
【命令】
am user-bind mac-addr mac-address ip-addr ip-address
undo am user-bind mac-addr mac-address ip-addr ip-address
【视图】
以太网端口视图
【参数】
mac-address:绑定的MAC地址值。
ip-address:绑定的IP地址值。
【描述】
am user-bind命令用来将合法用户的MAC地址和IP地址绑定到当前的端口上。 undo am user-bind命令用来取消MAC地址和IP地址与当前端口的绑定。
进行绑定操作后,只有合法用户的报文才能通过端口。
.. 说明:
对同一个MAC地址,系统只允许进行一次绑定操作。
【举例】
# 将MAC地址为00e0-fc00-5102,IP地址为10.153.1.2的合法用户与端口 Ethernet1/0/2进行绑定。
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet1/0/2
[H3C-Ethernet1/0/2] am user-bind mac-addr 00e0-fc00-5102 ip-addr 10.153.1.2
2.1.3 display am user-bind
【命令】
display am user-bind [ interface interface-type interface-number | mac-addr mac-addr | ip-addr ip-addr ]
端口绑定
【视图】
任意视图
【参数】
interface:显示指定端口的绑定信息。
interface-type:端口类型。
interface-number:端口编号。
mac-addr mac-addr:显示指定MAC地址的绑定信息。
ip-addr ip-addr:显示指定IP地址的绑定信息。
【描述】
display am user-bind命令用来显示端口绑定的配置信息。
【举例】
# 显示当前系统端口绑定的配置信息。
Following User address bind have been configured:
Mac IP Port
00e0-fc00-5101 10.153.1.1 Ethernet1/0/1
00e0-fc00-5102 10.153.1.2 Ethernet1/0/2
Unit 1:Total 2 found, 2 listed.
Total: 2 found.
以上显示信息表示,设备Unit 1当前总共有两条端口绑定的配置:
.. MAC地址00e0-fc00-5101、IP地址10.153.1.1已经与端口Ethernet1/0/1进 行了绑定;
.. MAC地址00e0-fc00-5102、IP地址10.153.1.2已经与端口Ethernet1/0/2进 行了绑定。
正在阅读:
H3C S3600 系列以太网交换机 命令手册-端口安全-端口绑定04-04
情侣秀恩爱短句 高逼格撒狗粮情侣说说09-12
个人建军大业观后感模板04-04
岁月不居,天道酬勤03-10
php试题及答案09-21
税务青春奉献演讲稿02-01
这里有属于我的世界作文800字06-29
小学学校美术器材供货清单一览表 全08-25
超星网课领导学答案04-04
- 计算机试题
- 【2012天津卷高考满分作文】鱼心人不知
- 教育心理学历年真题及答案--浙江教师资格考试
- 20180327-第六届“中金所杯”全国大学生金融知识大赛参考题库
- 洪林兴达煤矿2018年度水情水害预测预报
- 基本要道讲义
- 机电设备安装试运行异常现象分析与对策
- 《有机化学》复习资料-李月明
- 非常可乐非常MC2--非常可乐广告策划提案 - 图文
- 2011中考数学真题解析4 - 科学记数法(含答案)
- 企业人力资源管理师三级07- 09年真题及答案
- 基于单片机的光控自动窗帘控制系统设计说明书1 - 图文
- 20160802神华九江输煤皮带机安装方案001
- (共53套)新人教版一生物必修2(全册)教案汇总 word打印版
- 2014行政管理学总复习
- 中国银监会关于加强地方政府融资平台贷款风险监管的指导意见
- 民宿酒店核心竞争与研究
- 游园活动谜语大全2012
- 河南省天一大联考2016届高三英语5月阶段性测试试题(六)(A卷)
- 小型超市管理系统毕业论文详细设计4
- 端口
- 以太网
- 绑定
- 交换机
- 命令
- 手册
- 系列
- 安全
- S3600
- H3C
- 部编六年级语文上册《第四单元检测卷》(附答案)
- 党建工作、宣传思想进茶馆
- 信号与系统习题答案 第三章
- 广东省人民政府关于印发部分市乡镇集中式饮用水源保护区划分方案
- 普通话测试要求
- 发展对象培训班学习心得体会
- 中职英语教学改革实践论文
- 2019年4月全国自考《国际经济法概论》考前试题和答案00246
- 丙二醛含量测定
- 流体输送-计算题
- 宗亲联谊总会领导致辞与宗祠庆典致辞汇编
- 局域网期末考试
- B卷 - 1 -
- 第5课 齿轮传动 - 机械夹子 教学案
- 台州市城市总体规划2004-2020 - 图文
- 全国水资源调查 - 华东区
- 《高速铁路接触网安全工作规则》
- 民主生活会批评自我批评发言稿
- 化工原理--吸收习题及答案
- 2018年广西公需科目“一带一路”倡议 100f分试题及答案