2024年9月4日发(作者:欧晓莉)
端口安全配置
版权所有2011,迈普通信技术股份有限公司,保留所有权利
`
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人
不得以任何方式摘录、复制或翻译。
侵权必究。
策 划: 研究院 资料服务处
* * *
迈普通信技术有限公司
地址:成都市高新区九兴大道16号迈普大厦
技术支持热线:400-886-8669
传真:(+8628)85148948
E-mail:support@
网址:
邮编:610041
版本:2011年 8月v1.0版
版权所有2011,迈普通信技术股份有限公司,保留所有权利
目 录
第1章
端口安全 .............................................................................................................................. 2
1.1 端口安全简介 ........................................................................................................................ 2
1.2 端口安全配置 ........................................................................................................................ 3
1.3 配置举例 ............................................................................................................................... 5
版权所有2011,迈普通信技术股份有限公司,保留所有权利
`
第1章 端口安全
1.1 端口安全简介
端口安全一般应用在接入层。它能够对通过设备访问网络的主机进行限制,允许某些
特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑
定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够
的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP
规则和MAX规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID
绑定;IP规则可以针对某一IP 也可以针对一系列IP;MAX 规则用以限定端口可以学习到
的(按顺序)最多MAC 地址数目,这个地址数目不包括MAC规则和IP规则产生的合法
MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX
规则,其他报文均不能转发(通过允许规则检查的例外)。
Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置
文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地
址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky
规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的
MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。
MAC 规则和IP 规则可以指定匹配相应规则的报文是否允许通信。通过MAC 规则可
以有效的将用户的MAC 地址与Vlan,MAC 地址与IP 地址进行灵活的绑定,由于端口安全
是基于软件实现的,规则数不受硬件资源限制,使得配置更加灵活。
端口安全的规则依靠终端设备的ARP 报文进行触发,当设备接收到ARP 报文时,端
口安全从中提取各种报文信息,并与配置的三种规则进行匹配,匹配的顺序为先匹配MAC
规则,再匹配IP规则,最后匹配MAX 规则,并根据匹配结果控制端口的二层转发表,以
控制端口对报文的转发行为。
版权所有2011,迈普通信技术股份有限公司,保留所有权利
2
`
当端口安全判断报文为非法报文会相应处理,目前有三种处理模式protect、restrict 和
shutdown。Protect 模式将报文丢弃,restrict 模式将报文丢弃和trap 告警(收到非法报文
两分钟内告警),shutdown模式除restrict模式的动作还会将端口shutdown。
注:如果一个MAC地址或IP地址是被deny掉的,即使这时未达到MAX的上限,该主机也不能
通讯。
注:端口安全不能与802.1X或者mac认证共同启用。
注:端口安全不能与防ARP泛洪共同启用。
1.2 端口安全配置
操作
进入全局配置模式
进入端口配置模式
开启/关闭端口安全
配置端口的MAC绑定规则
设置端口的MAC+VLAN绑
定规则
配置端口的MAC+IP绑定
规则
表 1-1 配置端口安全
命令
configure terminal
interface ethernet device/slot/port
port-security {enable|disable},缺省为disable
port-security {permit|deny mac-address
mac-address},缺省没有配置
port-security {permit|deny mac-address
mac-address vlan-id vlanId},缺省没有配置
port-security {permit|deny mac-address
mac-address ip-address ip-address},缺省没有
配置
port-security {permint|deny ip-address
配置端口的IP规则
start-ip-address [to end-ip-address]} ,缺省没有
配置
配置端口的MAX规则
打开端口的STICKY功能
配置端口的MAC STICKY
规则
配置端口的MAC+VLAN
STICKY规则
配置端口的地址老化时间
(分钟)
port-security maximum {0-4000},缺省为0
port-security permit mac-address sticky ,缺省
为关闭
port-security permit mac-address sticky
{mac-address},缺省没有配置
port-security permit mac-address sticky
{mac-address} vlan-id {vlanId},缺省没有配置
port-security aging time {0-1440},缺省为1分
钟
可选
可选
可选
可选
备注
-
-
必选
可选
可选
可选
可选
可选
版权所有2011,迈普通信技术股份有限公司,保留所有权利
3
`
启用端口的静态地址老化
功能
port-security aging static,缺省没有启用
port-security violation
{protect|restrict|shutdown},缺省为protect
配置端口收到非法报文(匹
配deny规则或者超过MAX
最大值)时的处理方式
protect,丢弃非法报文
restrict,丢弃非法报文和trap告警
shutdown,丢弃非法报文和trap告警
并将端口shutdown
配置端口shutown后自动
恢复功能
配置端口shutown后自动
恢复时间
port-security recovery,默认为关闭
port-security recovery time
分钟
no port-security active-address {all| configured|
learned}
all,删除所有MAC地址
删除端口指定的MAC地址
configured,删除MAX规则外学习到的MAC地
址
learned,删除MAX规则学习到的MAC地址
删除端口上所有的端口安
全相关的配置
显示端口的配置情况
显示端口的MAC规则配置
情况
显示端口的IP规则配置情
况
显示端口当前激活的MAC
地址情况
显示端口shutdown后自动
恢复的配置
show port-security recovery [interface list]
show port-security ip-address [interface list]
show port-security active-address [configured |
learned][interface list]
show port-security mac-address [interface list]
no port-security all
可选
可选
可选
可选
可选
可选
show port-security [interface list]
可选
可选
可选
可选
可选
注:
sticky功能若要生效,需打开端口安全功能及MAX规则数配置不为0。当打开该功能时,
会将 打开前MAX规则中学到的动态地址转化为sticky规则,并保存于运行文件中。当关闭该功能时,
会将已学到的sticky规则一同删除。
端口下的sticky规则条目数不能超过配置的MAX规则数。
版权所有2011,迈普通信技术股份有限公司,保留所有权利
4
`
若设备重启前,将配置文件保存,那么设备启动后,端口下重启前保存的STICKY规则会自动生效。
注:
当端口shutdown后可以通过两种方法恢复,1,将端口shutdown和no shutdown,2,配
置shutown后自动恢复。
注:
收到非法报文时trap告警不会马上发生,将在两分钟内发出trap告警。
1.3 配置举例
1、开启端口8~10的端口安全功能,配置端口8允许源mac地址为00:01:7f:00:22:33的报文通过:
Switch(config)#interface range ethernet 0/0/8 to ethernet 0/0/10
Switch(config-if-range)#port-security enable
Switch(config-if-range)#interface ethernet 0/0/8
Switch(config-if-ethernet-0/0/8)#port-security permit mac-address 00:01:7f:0
0:22:33
2、配置端口9允许源mac地址为00:01:7f:44:55:66,vlan为3的报文通过。配置端口10丢弃源
mac地址为00:01:7f:23:56:89,源IP为192.168.1.88的报文:
Switch(config-if-ethernet-0/0/8)#interface ethernet 0/0/9
Switch(config-if-ethernet-0/0/9)#port-security permit mac-address 00:01:7f:4
4:55:66 vlan-id 3
Switch(config-if-ethernet-0/0/9)#interface ethernet 0/0/10
Switch(config-if-ethernet-0/0/10)#port-security deny mac-address 00:01:7f:23
:56:89 ip-address 192.168.1.88
3、在端口8上,禁止通信源IP从192.168.1.100到192.168.1.200之间的所有报文:
Switch(config-if-ethernet-0/0/10)#interface ethernet 0/0/8
Switch(config-if-ethernet-0/0/8)#port-security deny ip-address 192.168.1.100
to 192.168.1.200
4、开启端口9的mac+vlan sticky功能:
Switch(config-if-ethernet-0/0/8)interface ethernet 0/0/9
版权所有2011,迈普通信技术股份有限公司,保留所有权利
5
`
Switch(config-if-ethernet-0/0/9)#port-security permit mac-address sticky
5、开启10端口的静态地址老化功能:
Switch(config-if-ethernet-0/0/9)#i e 0/0/10
Switch(config-if-ethernet-0/0/10)#port-security aging static
6、配置端口8,9,10的max规则各500条,老化时间为5分钟,配置丢弃所有匹配deny规则
的报文并发送警告和shutdown端口,端口shutdown后3分钟重新开启。
Switch(config-if-ethernet-0/0/10)#interface range ethernet 0/0/8 to ethernet
0/0/10
Switch(config-if-range)#port-security maximum 500
Switch(config-if-range)#port-security aging time 5
Switch(config-if-range)#port-security violation shutdown
Switch(config-if-range)#port-security recovery
Switch(config-if-range)#port-security recovery time 3
Switch(config-if-range)#exit
Switch(config)#show port-security interface ethernet 0/0/8 to 0/0/10
tips: ViMode(violation mode) AT(AgingTime) AS(AgingStatic) ST(shutdown)
Port Status MaxNum UserNum ViMode AT(min) AS Sticky ST
e0/0/8 enable 500 0 shutdown 5 disable disable FALSE
e0/0/9 enable 500 0 shutdown 5 disable enable FALSE
e0/0/10 enable 500 0 shutdown 5 enable disable FALSE
Total entries: 3
7、配置完成后显示相应的配置信息。
Switch(config)#show port-security ip-address
Configuration of rules:
Port Action Start ipaddress End ipaddress
版权所有2011,迈普通信技术股份有限公司,保留所有权利
6
`
e0/0/8 deny 192.168.1.100 192.168.1.200
Total entries: 1
Switch(config)#show port-security mac-address
Configuration of rules:
Port Action Mac address VID IP Addr ConfigType
e0/0/8 permit 00:01:7f:00:22:33 N/A N/A MAC
e0/0/9 permit 00:01:7f:44:55:66 3 N/A MAC+VLAN
e0/0/10 deny 00:01:7f:23:56:89 N/A 192.168.1.88 MAC+IP
Total entries: 3
Switch(config)#show port-security recovery interface ethernet 0/0/8
to 0/0/10
Auto recovery configurations:
Port Auto recovery Time(min)
e0/0/8 enable 3
e0/0/9 enable 3
e0/0/10 enable 3
Total entries: 3
Switch(config)#show running-config interface ethernet 0/0/8
![ethernet 0/0/8]
port-security enable
port-security maximum 500
port-security aging time 5
port-security violation shutdown
版权所有2011,迈普通信技术股份有限公司,保留所有权利
7
`
port-security recovery
port-security recovery time 3
port-security permit mac-address 00:01:7f:00:22:33
port-security deny ip-address 192.168.1.100 to 192.168.1.200
end
Switch(config)#show running-config interface ethernet 0/0/9
![ethernet 0/0/9]
port-security enable
port-security maximum 500
port-security aging time 5
port-security permit mac-address sticky
port-security violation shutdown
port-security recovery
port-security recovery time 3
port-security permit mac-address 00:01:7f:44:55:66 vlan-id 3
end
Switch(config)#show running-config interface ethernet 0/0/10
![ethernet 0/0/10]
port-security enable
port-security maximum 500
port-security aging static
port-security aging time 5
版权所有2011,迈普通信技术股份有限公司,保留所有权利
8
`
port-security violation shutdown
port-security recovery
port-security recovery time 3
port-security deny mac-address 00:01:7f:23:56:89 ip-address 192.168.1.88
end
版权所有2011,迈普通信技术股份有限公司,保留所有权利
9
2024年9月4日发(作者:欧晓莉)
端口安全配置
版权所有2011,迈普通信技术股份有限公司,保留所有权利
`
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人
不得以任何方式摘录、复制或翻译。
侵权必究。
策 划: 研究院 资料服务处
* * *
迈普通信技术有限公司
地址:成都市高新区九兴大道16号迈普大厦
技术支持热线:400-886-8669
传真:(+8628)85148948
E-mail:support@
网址:
邮编:610041
版本:2011年 8月v1.0版
版权所有2011,迈普通信技术股份有限公司,保留所有权利
目 录
第1章
端口安全 .............................................................................................................................. 2
1.1 端口安全简介 ........................................................................................................................ 2
1.2 端口安全配置 ........................................................................................................................ 3
1.3 配置举例 ............................................................................................................................... 5
版权所有2011,迈普通信技术股份有限公司,保留所有权利
`
第1章 端口安全
1.1 端口安全简介
端口安全一般应用在接入层。它能够对通过设备访问网络的主机进行限制,允许某些
特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑
定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够
的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP
规则和MAX规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID
绑定;IP规则可以针对某一IP 也可以针对一系列IP;MAX 规则用以限定端口可以学习到
的(按顺序)最多MAC 地址数目,这个地址数目不包括MAC规则和IP规则产生的合法
MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX
规则,其他报文均不能转发(通过允许规则检查的例外)。
Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置
文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地
址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky
规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的
MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。
MAC 规则和IP 规则可以指定匹配相应规则的报文是否允许通信。通过MAC 规则可
以有效的将用户的MAC 地址与Vlan,MAC 地址与IP 地址进行灵活的绑定,由于端口安全
是基于软件实现的,规则数不受硬件资源限制,使得配置更加灵活。
端口安全的规则依靠终端设备的ARP 报文进行触发,当设备接收到ARP 报文时,端
口安全从中提取各种报文信息,并与配置的三种规则进行匹配,匹配的顺序为先匹配MAC
规则,再匹配IP规则,最后匹配MAX 规则,并根据匹配结果控制端口的二层转发表,以
控制端口对报文的转发行为。
版权所有2011,迈普通信技术股份有限公司,保留所有权利
2
`
当端口安全判断报文为非法报文会相应处理,目前有三种处理模式protect、restrict 和
shutdown。Protect 模式将报文丢弃,restrict 模式将报文丢弃和trap 告警(收到非法报文
两分钟内告警),shutdown模式除restrict模式的动作还会将端口shutdown。
注:如果一个MAC地址或IP地址是被deny掉的,即使这时未达到MAX的上限,该主机也不能
通讯。
注:端口安全不能与802.1X或者mac认证共同启用。
注:端口安全不能与防ARP泛洪共同启用。
1.2 端口安全配置
操作
进入全局配置模式
进入端口配置模式
开启/关闭端口安全
配置端口的MAC绑定规则
设置端口的MAC+VLAN绑
定规则
配置端口的MAC+IP绑定
规则
表 1-1 配置端口安全
命令
configure terminal
interface ethernet device/slot/port
port-security {enable|disable},缺省为disable
port-security {permit|deny mac-address
mac-address},缺省没有配置
port-security {permit|deny mac-address
mac-address vlan-id vlanId},缺省没有配置
port-security {permit|deny mac-address
mac-address ip-address ip-address},缺省没有
配置
port-security {permint|deny ip-address
配置端口的IP规则
start-ip-address [to end-ip-address]} ,缺省没有
配置
配置端口的MAX规则
打开端口的STICKY功能
配置端口的MAC STICKY
规则
配置端口的MAC+VLAN
STICKY规则
配置端口的地址老化时间
(分钟)
port-security maximum {0-4000},缺省为0
port-security permit mac-address sticky ,缺省
为关闭
port-security permit mac-address sticky
{mac-address},缺省没有配置
port-security permit mac-address sticky
{mac-address} vlan-id {vlanId},缺省没有配置
port-security aging time {0-1440},缺省为1分
钟
可选
可选
可选
可选
备注
-
-
必选
可选
可选
可选
可选
可选
版权所有2011,迈普通信技术股份有限公司,保留所有权利
3
`
启用端口的静态地址老化
功能
port-security aging static,缺省没有启用
port-security violation
{protect|restrict|shutdown},缺省为protect
配置端口收到非法报文(匹
配deny规则或者超过MAX
最大值)时的处理方式
protect,丢弃非法报文
restrict,丢弃非法报文和trap告警
shutdown,丢弃非法报文和trap告警
并将端口shutdown
配置端口shutown后自动
恢复功能
配置端口shutown后自动
恢复时间
port-security recovery,默认为关闭
port-security recovery time
分钟
no port-security active-address {all| configured|
learned}
all,删除所有MAC地址
删除端口指定的MAC地址
configured,删除MAX规则外学习到的MAC地
址
learned,删除MAX规则学习到的MAC地址
删除端口上所有的端口安
全相关的配置
显示端口的配置情况
显示端口的MAC规则配置
情况
显示端口的IP规则配置情
况
显示端口当前激活的MAC
地址情况
显示端口shutdown后自动
恢复的配置
show port-security recovery [interface list]
show port-security ip-address [interface list]
show port-security active-address [configured |
learned][interface list]
show port-security mac-address [interface list]
no port-security all
可选
可选
可选
可选
可选
可选
show port-security [interface list]
可选
可选
可选
可选
可选
注:
sticky功能若要生效,需打开端口安全功能及MAX规则数配置不为0。当打开该功能时,
会将 打开前MAX规则中学到的动态地址转化为sticky规则,并保存于运行文件中。当关闭该功能时,
会将已学到的sticky规则一同删除。
端口下的sticky规则条目数不能超过配置的MAX规则数。
版权所有2011,迈普通信技术股份有限公司,保留所有权利
4
`
若设备重启前,将配置文件保存,那么设备启动后,端口下重启前保存的STICKY规则会自动生效。
注:
当端口shutdown后可以通过两种方法恢复,1,将端口shutdown和no shutdown,2,配
置shutown后自动恢复。
注:
收到非法报文时trap告警不会马上发生,将在两分钟内发出trap告警。
1.3 配置举例
1、开启端口8~10的端口安全功能,配置端口8允许源mac地址为00:01:7f:00:22:33的报文通过:
Switch(config)#interface range ethernet 0/0/8 to ethernet 0/0/10
Switch(config-if-range)#port-security enable
Switch(config-if-range)#interface ethernet 0/0/8
Switch(config-if-ethernet-0/0/8)#port-security permit mac-address 00:01:7f:0
0:22:33
2、配置端口9允许源mac地址为00:01:7f:44:55:66,vlan为3的报文通过。配置端口10丢弃源
mac地址为00:01:7f:23:56:89,源IP为192.168.1.88的报文:
Switch(config-if-ethernet-0/0/8)#interface ethernet 0/0/9
Switch(config-if-ethernet-0/0/9)#port-security permit mac-address 00:01:7f:4
4:55:66 vlan-id 3
Switch(config-if-ethernet-0/0/9)#interface ethernet 0/0/10
Switch(config-if-ethernet-0/0/10)#port-security deny mac-address 00:01:7f:23
:56:89 ip-address 192.168.1.88
3、在端口8上,禁止通信源IP从192.168.1.100到192.168.1.200之间的所有报文:
Switch(config-if-ethernet-0/0/10)#interface ethernet 0/0/8
Switch(config-if-ethernet-0/0/8)#port-security deny ip-address 192.168.1.100
to 192.168.1.200
4、开启端口9的mac+vlan sticky功能:
Switch(config-if-ethernet-0/0/8)interface ethernet 0/0/9
版权所有2011,迈普通信技术股份有限公司,保留所有权利
5
`
Switch(config-if-ethernet-0/0/9)#port-security permit mac-address sticky
5、开启10端口的静态地址老化功能:
Switch(config-if-ethernet-0/0/9)#i e 0/0/10
Switch(config-if-ethernet-0/0/10)#port-security aging static
6、配置端口8,9,10的max规则各500条,老化时间为5分钟,配置丢弃所有匹配deny规则
的报文并发送警告和shutdown端口,端口shutdown后3分钟重新开启。
Switch(config-if-ethernet-0/0/10)#interface range ethernet 0/0/8 to ethernet
0/0/10
Switch(config-if-range)#port-security maximum 500
Switch(config-if-range)#port-security aging time 5
Switch(config-if-range)#port-security violation shutdown
Switch(config-if-range)#port-security recovery
Switch(config-if-range)#port-security recovery time 3
Switch(config-if-range)#exit
Switch(config)#show port-security interface ethernet 0/0/8 to 0/0/10
tips: ViMode(violation mode) AT(AgingTime) AS(AgingStatic) ST(shutdown)
Port Status MaxNum UserNum ViMode AT(min) AS Sticky ST
e0/0/8 enable 500 0 shutdown 5 disable disable FALSE
e0/0/9 enable 500 0 shutdown 5 disable enable FALSE
e0/0/10 enable 500 0 shutdown 5 enable disable FALSE
Total entries: 3
7、配置完成后显示相应的配置信息。
Switch(config)#show port-security ip-address
Configuration of rules:
Port Action Start ipaddress End ipaddress
版权所有2011,迈普通信技术股份有限公司,保留所有权利
6
`
e0/0/8 deny 192.168.1.100 192.168.1.200
Total entries: 1
Switch(config)#show port-security mac-address
Configuration of rules:
Port Action Mac address VID IP Addr ConfigType
e0/0/8 permit 00:01:7f:00:22:33 N/A N/A MAC
e0/0/9 permit 00:01:7f:44:55:66 3 N/A MAC+VLAN
e0/0/10 deny 00:01:7f:23:56:89 N/A 192.168.1.88 MAC+IP
Total entries: 3
Switch(config)#show port-security recovery interface ethernet 0/0/8
to 0/0/10
Auto recovery configurations:
Port Auto recovery Time(min)
e0/0/8 enable 3
e0/0/9 enable 3
e0/0/10 enable 3
Total entries: 3
Switch(config)#show running-config interface ethernet 0/0/8
![ethernet 0/0/8]
port-security enable
port-security maximum 500
port-security aging time 5
port-security violation shutdown
版权所有2011,迈普通信技术股份有限公司,保留所有权利
7
`
port-security recovery
port-security recovery time 3
port-security permit mac-address 00:01:7f:00:22:33
port-security deny ip-address 192.168.1.100 to 192.168.1.200
end
Switch(config)#show running-config interface ethernet 0/0/9
![ethernet 0/0/9]
port-security enable
port-security maximum 500
port-security aging time 5
port-security permit mac-address sticky
port-security violation shutdown
port-security recovery
port-security recovery time 3
port-security permit mac-address 00:01:7f:44:55:66 vlan-id 3
end
Switch(config)#show running-config interface ethernet 0/0/10
![ethernet 0/0/10]
port-security enable
port-security maximum 500
port-security aging static
port-security aging time 5
版权所有2011,迈普通信技术股份有限公司,保留所有权利
8
`
port-security violation shutdown
port-security recovery
port-security recovery time 3
port-security deny mac-address 00:01:7f:23:56:89 ip-address 192.168.1.88
end
版权所有2011,迈普通信技术股份有限公司,保留所有权利
9