42-端口安全配置 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 端端口口安安全全配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 1 章章端口安全端口安全 2 1 1 端口安全简介 2 1 2 端口安全配置 3 1 3 配置举例 5 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 2 第第 1 1 章章 端口安全端口安全 1 1 端口安全简介端口安全简介 端口安全一般应用在接入层 它能够对通过设备访问网络的主机进行限制 允许某些 特定的主机访问网络 而其他主机均不能访问网络 端口安全功能将用户的 MAC 地址 IP 地址 VLAN ID 以及 PORT 号四个元素灵活绑 定 杜绝非法用户接入网络 从而保证网络数据的安全性 并保证合法用户能够得到足够 的带宽 用户可以通过三种规则来限制可以访问网络的主机 这三种规则分别是 MAC 规则 IP 规则和 MAX 规则 MAC 规则又分为三种绑定方式 MAC 绑定 MAC IP 绑定 MAC VID 绑定 IP 规则可以针对某一 IP 也可以针对一系列 IP MAX 规则用以限定端口 可以学习到的 按顺序 最多 MAC 地址数目 这个地址数目不包括 MAC 规则和 IP 规则 产生的合法 MAC 地址 在 MAX 规则下 又有 sticky 规则 如果端口仅配置了拒绝规则 没有配置 MAX 规则 其他报文均不能转发 通过允许规则检查的例外 Sticky 规则的 MAC 地址 能够自动地学习 也能够手工地配置 并保存于运行的配 置文件中 如果设备重启前保存运行的配置文件 设备重启后 不需再去配置 这些 MAC 地址自动生效 当端口下开启 sticky 功能 会将 MAX 规则学到的动态 MAC 地址添加成 sticky 规则 并保存到运行的配置的文件中 在 MAX 规则未学满的情况下 能允许继续学 习新的 MAC 地址 形成 sticky 规则 直至 sticky 规则数达到 MAX 所配置的最大值 MAC 规则和 IP 规则可以指定匹配相应规则的报文是否允许通信 通过 MAC 规则可 以有效的将用户的 MAC 地址与 Vlan MAC 地址与 IP 地址进行灵活的绑定 由于端口安 全是基于软件实现的 规则数不受硬件资源限制 使得配置更加灵活 端口安全的规则依靠终端设备的 ARP 报文进行触发 当设备接收到 ARP 报文时 端口安全从中提取各种报文信息 并与配置的三种规则进行匹配 匹配的顺序为先匹配 MAC 规则 再匹配 IP 规则 最后匹配 MAX 规则 并根据匹配结果控制端口的二层转发 表 以控制端口对报文的转发行为 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 3 当端口安全判断报文为非法报文会相应处理 目前有三种处理模式 protect restrict 和 shutdown Protect 模式将报文丢弃 restrict 模式将报文丢弃和 trap 告警 收到非法 报文两分钟内告警 shutdown 模式除 restrict 模式的动作还会将端口 shutdown 注 如果一个 MAC 地址或 IP 地址是被 deny 掉的 即使这时未达到 MAX 的上限 该主机也不 能通讯 注 端口安全不能与 802 1X 或者 mac 认证共同启用 注 端口安全不能与防 ARP 泛洪共同启用 1 2 端口安全配置端口安全配置 表 1 1配置端口安全 操作命令备注 进入全局配置模式configure terminal 进入端口配置模式interface ethernet device slot port 开启 关闭端口安全port security enable disable 缺省为 disable必选 配置端口的 MAC 绑定规则 port security permit deny mac address mac address 缺省没有配置 可选 设置端口的 MAC VLAN 绑定规则 port security permit deny mac address mac address vlan id vlanId 缺省没有配置 可选 配置端口的 MAC IP 绑定 规则 port security permit deny mac address mac address ip address ip address 缺省没有配置 可选 配置端口的 IP 规则 port security permint deny ip address start ip address to end ip address 缺省没有配置 可选 配置端口的 MAX 规则port security maximum 0 4000 缺省为 0可选 打开端口的 STICKY 功能 port security permit mac address sticky 缺省 为关闭 可选 配置端口的 MAC STICKY 规则 port security permit mac address sticky mac address 缺省没有配置 可选 配置端口的 MAC VLAN STICKY 规则 port security permit mac address sticky mac address vlan id vlanId 缺省没有配置 可选 配置端口的地址老化时间 分钟 port security aging time 0 1440 缺省为 1 分 钟 可选 启用端口的静态地址老化 功能 port security aging static 缺省没有启用可选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 4 配置端口收到非法报文 匹配 deny 规则或者超过 MAX 最大值 时的处理方 式 port security violation protect restrict shutdown 缺省为 protect protect 丢弃非法报文 restrict 丢弃非法报文和 trap 告警 shutdown 丢弃非法报文和 trap 告警 并将端口 shutdown 可选 配置端口 shutown 后自动 恢复功能 port security recovery 默认为关闭可选 配置端口 shutown 后自动 恢复时间 port security recovery time 默认为 5 分钟 可选 删除端口指定的 MAC 地址 no port security active address all configured learned all 删除所有 MAC 地址 configured 删除 MAX 规则外学习到的 MAC 地 址 learned 删除 MAX 规则学习到的 MAC 地址 可选 删除端口上所有的端口安 全相关的配置 no port security all可选 显示端口的配置情况show port security interface list 可选 显示端口的 MAC 规则配置 情况 show port security mac address interface list 可选 显示端口的 IP 规则配置情 况 show port security ip address interface list 可选 显示端口当前激活的 MAC 地址情况 show port security active address configured learned interface list 可选 显示端口 shutdown 后自动 恢复的配置 show port security recovery interface list 可选 注 注 sticky 功能若要生效 需打开端口安全功能及 MAX 规则数配置不为 0 当打开该功能时 会将 打开前 MAX 规则中学到的动态地址转化为 sticky 规则 并保存于运行文件中 当关闭该功能 时 会将已学到的 sticky 规则一同删除 端口下的 sticky 规则条目数不能超过配置的 MAX 规则数 若设备重启前 将配置文件保存 那么设备启动后 端口下重启前保存的 STICKY 规则会自动生效 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 5 注 注 当端口 shutdown 后可以通过两种方法恢复 1 将端口 shutdown 和 no shutdown 2 配置 shutown 后自动恢复 注 注 收到非法报文时 trap 告警不会马上发生 将在两分钟内发出 trap 告警 1 3 配置举例配置举例 1 开启端口8 10的端口安全功能 配置端口8允许源mac地址为00 01 7f 00 22 33的报文通 过 Switch config interface range ethernet 0 0 8 to ethernet 0 0 10 Switch config if range port security enable Switch config if range interface ethernet 0 0 8 Switch config if ethernet 0 0 8 port security permit mac address 00 01 7f 0 0 22 33 2 配置端口9允许源mac地址为00 01 7f 44 55 66 vlan为3的报文通过 配置端口10丢弃源 mac地址为00 01 7f 23 56 89 源IP为192 168 1 88的报文 Switch config if ethernet 0 0 8 interface ethernet 0 0 9 Switch config if ethernet 0 0 9 port security permit mac address 00 01 7f 4 4 55 66 vlan id 3 Switch config if ethernet 0 0 9 interface ethernet 0 0 10 Switch config if ethernet 0 0 10 port security deny mac address 00 01 7f 23 56 89 ip address 192 168 1 88 3 在端口8上 禁止通信源IP从192 168 1 100到192 168 1 200之间的所有报文 Switch config if ethernet 0 0 10 interface ethernet 0 0 8 Switch config if ethernet 0 0 8 port security deny ip address 192 168 1 100 to 192 168 1 200 4 开启端口9的mac vlan sticky功能 Switch config if ethernet 0 0 8 interface ethernet 0 0 9 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 6 Switch config if ethernet 0 0 9 port security permit mac address sticky 5 开启10端口的静态地址老化功能 Switch config if ethernet 0 0 9 i e 0 0 10 Switch config if ethernet 0 0 10 port security aging static 6 配置端口8 9 10的max规则各500条 老化时间为5分钟 配置丢弃所有匹配deny规则 的报文并发送警告和shutdown端口 端口shutdown后3分钟重新开启 Switch config if ethernet 0 0 10 interface range ethernet 0 0 8 to ethernet 0 0 10 Switch config if range port security maximum 500 Switch config if range port security aging time 5 Switch config if range port security violation shutdown Switch config if range port security recovery Switch config if range port security recovery time 3 Switch config if range exit Switch config show port security interface ethernet 0 0 8 to 0 0 10 tips ViMode violation mode AT AgingTime AS AgingStatic ST shutdown Port Status MaxNum UserNum ViMode AT min AS Sticky ST e0 0 8 enable 500 0 shutdown 5 disable disable FALSE e0 0 9 enable 500 0 shutdown 5 disable enable FALSE e0 0 10 enable 500 0 shutdown 5 enable disable FALSE Total entries 3 7 配置完成后显示相应的配置信息 Switch config show port security ip address Configuration of rules Port Action Start ipaddress End ipaddress 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 7 e0 0 8 deny 192 168 1 100 192 168 1 200 Total entries 1 Switch config show port security mac address Configuration of rules Port Action Mac address VID IP Addr ConfigType e0 0 8 permit 00 01 7f 00 22 33 N A N A MAC e0 0 9 permit 00 01 7f 44 55 66 3 N A MAC VLAN e0 0 10 deny 00 01 7f 23 56 89 N A 192 168 1 88 MAC IP Total entries 3 Switch config show port security recovery interface ethernet 0 0 8 to 0 0 10 Auto recovery configurations Port Auto recovery Time min e0 0 8 enable 3 e0 0 9 enable 3 e0 0 10 enable 3 Total entries 3 Switch config show running config interface ethernet 0 0 8 Building configuration ethernet 0 0 8 port security enable port security maximum 500 port security aging time 5 port security violation shutdown 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 8 port security recovery port security recovery time 3 port security permit mac address 00 01 7f 00 22 33 port security deny ip address 192 168 1 100 to 192