1、版权所有2011,迈普通信技术股份有限公司,保留所有权利端 口 安 全 配 置版权所有2011,迈普通信技术股份有限公司,保留所有权利本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。侵权必究。策 划: 研究院 资料服务处* * *迈普通信技术有限公司地址:成都市高新区九兴大道 16 号迈普大厦技术支持热线:400-886-8669传真:(+8628)85148948E-mail:网址:http:/邮编:610041版本:2011 年 8 月 v1.0 版版权所有2011,迈普通信技术股份有限公司,保留所有权利目 录 第 1 章 端口安
2、全 21.1 端口安全简介 21.2 端口安全配置 31.3 配置举例 .5版权所有2011,迈普通信技术股份有限公司,保留所有权利2第 1 章 端口安全1.1 端口安全简介端口安全一般应用在接入层。它能够对通过设备访问网络的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。端口安全功能将用户的 MAC 地址、IP 地址、VLAN ID 以及 PORT 号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是 MAC 规则,IP 规则和 MAX 规则,MAC 规则又分为
3、三种绑定方式:MAC 绑定,MAC+IP 绑定,MAC+VID 绑定;IP 规则可以针对某一 IP 也可以针对一系列 IP;MAX 规则用以限定端口可以学习到的(按顺序)最多 MAC 地址数目,这个地址数目不包括 MAC 规则和 IP 规则产生的合法 MAC 地址。在 MAX 规则下,又有 sticky 规则。如果端口仅配置了拒绝规则,没有配置 MAX 规则,其他报文均不能转发(通过允许规则检查的例外) 。Sticky 规则的 MAC 地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些 MAC地址自动生效。当端口下
4、开启 sticky 功能,会将 MAX 规则学到的动态 MAC 地址添加成sticky 规则,并保存到运行的配置的文件中。在 MAX 规则未学满的情况下,能允许继续学习新的 MAC 地址,形成 sticky 规则,直至 sticky 规则数达到 MAX 所配置的最大值。MAC 规则和 IP 规则可以指定匹配相应规则的报文是否允许通信。通过 MAC 规则可以有效的将用户的 MAC 地址与 Vlan,MAC 地址与 IP 地址进行灵活的绑定,由于端口安全是基于软件实现的,规则数不受硬件资源限制,使得配置更加灵活。端口安全的规则依靠终端设备的 ARP 报文进行触发,当设备接收到 ARP 报文时,端口
5、安全从中提取各种报文信息,并与配置的三种规则进行匹配,匹配的顺序为先匹配MAC 规则,再匹配 IP 规则,最后匹配 MAX 规则,并根据匹配结果控制端口的二层转发表,以控制端口对报文的转发行为。版权所有2011,迈普通信技术股份有限公司,保留所有权利3当端口安全判断报文为非法报文会相应处理,目前有三种处理模式 protect、restrict 和 shutdown。 Protect 模式将报文丢弃,restrict 模式将报文丢弃和 trap 告警(收到非法报文两分钟内告警) ,shutdown 模式除 restrict 模式的动作还会将端口 shutdown。 注:如果一个 MAC 地址或
6、IP 地址是被 deny 掉的,即使这时未达到 MAX 的上限,该主机也不能通讯。 注:端口安全不能与 802.1X 或者 mac 认证共同启用。 注:端口安全不能与防 ARP 泛洪共同启用。1.2 端口安全配置表 1-1 配置端口安全操作 命令 备注进入全局配置模式 configure terminal -进入端口配置模式 interface ethernet device/slot/port -开启/关闭端口安全 port-security enable|disable,缺省为 disable 必选配置端口的 MAC 绑定规则port-security permit|deny mac-ad
7、dress mac-address,缺省没有配置 可选设置端口的 MAC+VLAN绑定规则port-security permit|deny mac-address mac-address vlan-id vlanId,缺省没有配置 可选配置端口的 MAC+IP 绑定规则port-security permit|deny mac-address mac-address ip-address ip-address,缺省没有配置 可选配置端口的 IP 规则port-security permint|deny ip-address start-ip-address to end-ip-address
8、 ,缺省没有配置 可选配置端口的 MAX 规则 port-security maximum 0-4000,缺省为 0 可选打开端口的 STICKY 功能port-security permit mac-address sticky ,缺省为关闭可选配置端口的 MAC STICKY规则port-security permit mac-address sticky mac-address,缺省没有配置 可选配置端口的 MAC+VLAN STICKY 规则port-security permit mac-address sticky mac-address vlan-id vlanId,缺省没有配置
9、 可选配置端口的地址老化时间(分钟)port-security aging time 0-1440,缺省为 1 分钟可选启用端口的静态地址老化功能port-security aging static,缺省没有启用 可选版权所有2011,迈普通信技术股份有限公司,保留所有权利4配置端口收到非法报文(匹配 deny 规则或者超过MAX 最大值)时的处理方式port-security violation protect|restrict|shutdown,缺省为 protectprotect,丢弃非法报文restrict,丢弃非法报文和 trap 告警shutdown,丢弃非法报文和 trap 告警
10、并将端口 shutdown可选配置端口 shutown 后自动恢复功能port-security recovery,默认为关闭 可选配置端口 shutown 后自动恢复时间port-security recovery time ,默认为5 分钟可选删除端口指定的 MAC 地址no port-security active-address all| configured| learnedall,删除所有 MAC 地址configured,删除 MAX 规则外学习到的 MAC 地址learned,删除 MAX 规则学习到的 MAC 地址可选删除端口上所有的端口安全相关的配置no port-secu
11、rity all 可选显示端口的配置情况 show port-security interface list 可选显示端口的 MAC 规则配置情况show port-security mac-address interface list 可选显示端口的 IP 规则配置情况show port-security ip-address interface list 可选显示端口当前激活的 MAC地址情况show port-security active-address configured | learnedinterface list 可选显示端口 shutdown 后自动恢复的配置show po
12、rt-security recovery interface list 可选 注:sticky 功能若要生效,需打开端口安全功能及 MAX 规则数配置不为 0。当打开该功能时,会将 打开前 MAX 规则中学到的动态地址转化为 sticky 规则,并保存于运行文件中。当关闭该功能时,会将已学到的 sticky 规则一同删除。端口下的 sticky 规则条目数不能超过配置的 MAX 规则数。若设备重启前,将配置文件保存,那么设备启动后,端口下重启前保存的 STICKY 规则会自动生效。版权所有2011,迈普通信技术股份有限公司,保留所有权利5 注:当端口 shutdown 后可以通过两种方法恢复,
13、 1,将端口 shutdown 和 no shutdown,2,配置 shutown 后自动恢复。 注:收到非法报文时 trap 告警不会马上发生,将在两分钟内发出 trap 告警。1.3 配置举例1、开启端口810的端口安全功能,配置端口8允许源mac地址为00:01:7f:00:22:33的报文通过:Switch(config)#interface range ethernet 0/0/8 to ethernet 0/0/10Switch(config-if-range)#port-security enable Switch(config-if-range)#interface ethe
14、rnet 0/0/8Switch(config-if-ethernet-0/0/8)#port-security permit mac-address 00:01:7f:00:22:33 2、配置端口9允许源mac地址为00:01:7f:44:55:66 ,vlan为3的报文通过。配置端口10丢弃源mac地址为00:01:7f:23:56:89,源IP为192.168.1.88的报文:Switch(config-if-ethernet-0/0/8)#interface ethernet 0/0/9 Switch(config-if-ethernet-0/0/9)#port-security p
15、ermit mac-address 00:01:7f:44:55:66 vlan-id 3Switch(config-if-ethernet-0/0/9)#interface ethernet 0/0/10Switch(config-if-ethernet-0/0/10)#port-security deny mac-address 00:01:7f:23:56:89 ip-address 192.168.1.883、在端口8上,禁止通信源IP从192.168.1.100到192.168.1.200之间的所有报文:Switch(config-if-ethernet-0/0/10)#interf
16、ace ethernet 0/0/8 Switch(config-if-ethernet-0/0/8)#port-security deny ip-address 192.168.1.100to 192.168.1.2004、开启端口9的mac+vlan sticky功能:Switch(config-if-ethernet-0/0/8)interface ethernet 0/0/9版权所有2011,迈普通信技术股份有限公司,保留所有权利6Switch(config-if-ethernet-0/0/9)#port-security permit mac-address sticky 5、开启1
17、0端口的静态地址老化功能:Switch(config-if-ethernet-0/0/9)#i e 0/0/10Switch(config-if-ethernet-0/0/10)#port-security aging static 6、配置端口8,9,10的max规则各500条,老化时间为5分钟,配置丢弃所有匹配deny规则的报文并发送警告和shutdown端口,端口shutdown后3分钟重新开启。Switch(config-if-ethernet-0/0/10)#interface range ethernet 0/0/8 to ethernet 0/0/10Switch(config-
18、if-range)#port-security maximum 500Switch(config-if-range)#port-security aging time 5Switch(config-if-range)#port-security violation shutdown Switch(config-if-range)#port-security recovery Switch(config-if-range)#port-security recovery time 3Switch(config-if-range)#exitSwitch(config)#show port-secur
19、ity interface ethernet 0/0/8 to 0/0/10tips: ViMode(violation mode) AT(AgingTime) AS(AgingStatic) ST(shutdown)Port Status MaxNum UserNum ViMode AT(min) AS Sticky STe0/0/8 enable 500 0 shutdown 5 disable disable FALSEe0/0/9 enable 500 0 shutdown 5 disable enable FALSEe0/0/10 enable 500 0 shutdown 5 en
20、able disable FALSETotal entries: 37、配置完成后显示相应的配置信息。Switch(config)#show port-security ip-address Configuration of rules:Port Action Start ipaddress End ipaddress版权所有2011,迈普通信技术股份有限公司,保留所有权利7e0/0/8 deny 192.168.1.100 192.168.1.200Total entries: 1Switch(config)#show port-security mac-address Configurat
21、ion of rules:Port Action Mac address VID IP Addr ConfigTypee0/0/8 permit 00:01:7f:00:22:33 N/A N/A MACe0/0/9 permit 00:01:7f:44:55:66 3 N/A MAC+VLANe0/0/10 deny 00:01:7f:23:56:89 N/A 192.168.1.88 MAC+IPTotal entries: 3Switch(config)#show port-security recovery interface ethernet 0/0/8to 0/0/10Auto r
22、ecovery configurations:Port Auto recovery Time(min)e0/0/8 enable 3e0/0/9 enable 3e0/0/10 enable 3Total entries: 3Switch(config)#show running-config interface ethernet 0/0/8Building configuration.!ethernet 0/0/8port-security enableport-security maximum 500port-security aging time 5port-security viola
23、tion shutdown版权所有2011,迈普通信技术股份有限公司,保留所有权利8port-security recoveryport-security recovery time 3port-security permit mac-address 00:01:7f:00:22:33port-security deny ip-address 192.168.1.100 to 192.168.1.200endSwitch(config)#show running-config interface ethernet 0/0/9Building configuration.!ethernet 0/
24、0/9port-security enableport-security maximum 500port-security aging time 5port-security permit mac-address stickyport-security violation shutdownport-security recoveryport-security recovery time 3port-security permit mac-address 00:01:7f:44:55:66 vlan-id 3endSwitch(config)#show running-config interf
25、ace ethernet 0/0/10Building configuration.!ethernet 0/0/10port-security enableport-security maximum 500port-security aging staticport-security aging time 5版权所有2011,迈普通信技术股份有限公司,保留所有权利9port-security violation shutdownport-security recoveryport-security recovery time 3port-security deny mac-address 00:01:7f:23:56:89 ip-address 192.168.1.88end
