端口查看端口是否开放

i目录1端口安全1-11.
1端口安全配置命令·1-11.
1.
1displayport-security1-11.
1.
2displayport-securitymac-addressblock1-41.
1.
3displayport-securitymac-addresssecurity1-51.
1.
4port-securityaccess-userlogenable·1-61.
1.
5port-securityauthenticationopen·1-71.
1.
6port-securityauthenticationopenglobal·1-81.
1.
7port-securityauthorizationignore1-91.
1.
8port-securityauthorization-failoffline·1-101.
1.
9port-securityenable·1-111.
1.
10port-securityfree-vlan1-121.
1.
11port-securityintrusion-mode1-131.
1.
12port-securitymac-addressaging-typeinactivity·1-141.
1.
13port-securitymac-addressdynamic·1-151.
1.
14port-securitymac-addresssecurity·1-151.
1.
15port-securitymac-limit·1-171.
1.
16port-securitymac-movepermit·1-181.
1.
17port-securitymax-mac-count1-191.
1.
18port-securitynas-id-profile·1-201.
1.
19port-securityntk-mode1-211.
1.
20port-securityoui·1-221.
1.
21port-securityport-mode1-231.
1.
22port-securitytimerautolearnaging·1-251.
1.
23port-securitytimerdisableport·1-261.
1.
24snmp-agenttrapenableport-security1-271-11端口安全1.
1端口安全配置命令1.
1.
1displayport-securitydisplayport-security命令用来显示端口安全的配置信息、运行情况和统计信息.
【命令】displayport-security[interfaceinterface-typeinterface-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】interfaceinterface-typeinterface-number:显示指定端口的端口安全相关信息.
interface-typeinterface-number表示端口类型和端口编号.
若不指定本参数,则显示所有端口的端口安全信息.
【举例】#显示所有端口的端口安全相关状态.
displayport-securityGlobalportsecurityparameters:Portsecurity:EnabledAutoLearnagingtime:0minDisableporttimeout:20sMACmove:DeniedAuthorizationfail:OnlineNAS-IDprofile:NotconfiguredDot1x-failuretrap:DisabledDot1x-logontrap:DisabledDot1x-logofftrap:EnabledIntrusiontrap:DisabledAddress-learnedtrap:EnabledMac-auth-failuretrap:DisabledMac-auth-logontrap:EnabledMac-auth-logofftrap:DisabledOpenauthentication:DisabledOUIvaluelist:1-2Index:1Value:123401Ten-GigabitEthernet1/0/1islink-upPortmode:userLoginNeedToKnowmode:DisabledIntrusionprotectionmode:NoActionSecurityMACaddressattributeLearningmode:StickyAgingtype:PeriodicalMaxsecureMACaddresses:32CurrentsecureMACaddresses:0Authorization:PermittedNAS-IDprofile:NotconfiguredFreeVLANs:NotconfiguredOpenauthentication:Disabled表1-1displayport-security命令显示信息描述表字段描述Portsecurity端口安全的开启状态AutoLearnagingtimeStickyMAC地址的老化时间,单位为分钟或秒Disableporttimeout收到非法报文的端口暂时被关闭的时间,单位为秒MACmoveMAC迁移功能的开启状态如果MAC迁移功能处于开启状态,则显示Permitted如果MAC迁移功能处于关闭状态,则显示DeniedAuthorizationfail授权失败后用户的状态,包括下线(Offline)和保持在线(Online)两种类型NAS-IDprofile全局引用的NAS-IDProfileDot1x-failuretrap802.
1X用户认证失败的告警功能开启状态Dot1x-logontrap802.
1X用户认证成功的告警功能开启状态Dot1x-logofftrap802.
1X用户认证下线的告警功能开启状态Intrusiontrap发现非法报文的告警功能开启状态Address-learnedtrap端口学习到新MAC地址的告警功能开启状态Mac-auth-failuretrapMAC地址认证用户认证失败的告警功能开启状态Mac-auth-logontrapMAC地址认证用户认证成功的告警功能开启状态Mac-auth-logofftrapMAC地址认证用户认证下线的告警功能开启状态Openauthentication端口安全全局开放认证模式功能开启状态Enabled:打开Disabled:关闭OUIvaluelist允许通过认证的用户的24位OUI值IndexOUI的索引1-3字段描述ValueOUI值Portmode端口安全模式,包括以下几种:noRestrictionautoLearnmacAddressWithRadiusmacAddressElseUserLoginSecuremacAddressElseUserLoginSecureExtsecureuserLoginuserLoginSecureuserLoginSecureExtmacAddressOrUserLoginSecuremacAddressOrUserLoginSecureExtuserLoginWithOUI关于各模式的具体涵义,请参考端口安全配置手册NeedToKnowmodeNeedToKnow模式,包括以下几种:NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过Disabled:表示不进行NTK处理Intrusionprotectionmode入侵检测特性模式,包括以下几种:BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中DisablePort:表示将收到非法报文的端口永久关闭DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间NoAction:表示不进行入侵检测处理SecurityMACaddressattribute安全MAC地址的相关属性SecurityMACaddresslearningmode安全MAC地址的学习方式:Dynamic:动态类型Sticky:Sticky类型SecurityMACaddressagingtype安全MAC地址的老化方式:Periodical:按照配置的老化时间间隔进行老化Inactivity:无流量命中时老化MaxsecureMACaddresses端口安全允许的最大安全MAC地址数目或上线用户数CurrentsecureMACaddresses端口下保存的安全MAC地址数目1-4字段描述Authorization服务器的授权信息是否被忽略Permitted:表示当前端口应用RADIUS服务器或本地设备下发的授权信息Ignored:表示当前端口不应用RADIUS服务器或本地设备下发的授权信息NAS-IDprofile端口下引用的NAS-IDProfileFreeVLANs端口上配置的无需认证的VLAN,如果没有配置,则显示NotconfiguredOpenauthentication端口安全端口开放认证模式功能开启状态Enabled:打开Disabled:关闭1.
1.
2displayport-securitymac-addressblockdisplayport-securitymac-addressblock命令用来显示阻塞MAC地址信息.
【命令】displayport-securitymac-addressblock[interfaceinterface-typeinterface-number][vlanvlan-id][count]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】interfaceinterface-typeinterface-number:显示指定端口的阻塞MAC地址信息.
interface-typeinterface-number表示端口类型和端口编号.
vlanvlan-id:显示指定VLAN的阻塞MAC地址信息.
其中,vlan-id表示VLAN编号,取值范围为1~4094.
count:显示阻塞MAC地址的个数.
【使用指导】如果不指定任何参数,则显示所有阻塞MAC地址的信息.
【举例】#显示所有阻塞MAC地址.
(独立运行模式)displayport-securitymac-addressblockMACADDRPortVLANID000f-3d80-0d2dXGE1/0/1301-5---Onslot1,1MACaddress(es)found------1macaddress(es)found---#显示所有阻塞MAC地址计数.
(独立运行模式)displayport-securitymac-addressblockcount---Onslot1,1MACaddress(es)found------1macaddress(es)found---表1-2displayport-securitymac-addressblock命令显示信息描述表字段描述MACADDR阻塞MAC地址Port阻塞MAC地址所在端口VLANID端口所属VLANnumbermacaddress(es)found当前阻塞MAC地址数目为number个【相关命令】port-securityintrusion-mode1.
1.
3displayport-securitymac-addresssecuritydisplayport-securitymac-addresssecurity命令用来显示安全MAC地址信息.
【命令】displayport-securitymac-addresssecurity[interfaceinterface-typeinterface-number][vlanvlan-id][count]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】interfaceinterface-typeinterface-number:显示指定端口的安全MAC地址信息.
其中,interface-typeinterface-number表示端口类型和端口编号.
vlanvlan-id:显示指定VLAN的安全MAC地址信息.
其中,vlan-id表示VLAN编号,取值范围为1~4094.
count:统计符合条件的安全MAC地址个数.
1-6【使用指导】当端口工作于autoLearn模式时,端口上通过自动学习或者静态配置的安全MAC地址可通过该命令查看.
如果不指定任何参数,则显示所有安全MAC地址的信息.
【举例】#显示所有安全MAC地址.
displayport-securitymac-addresssecurityMACADDRVLANIDSTATEPORTINDEXAGINGTIME0002-0002-00021SecurityXGE1/0/1NOAGED---NumberofsecureMACaddresses:1---#显示所有安全MAC地址计数.
displayport-securitymac-addresssecuritycount---NumberofsecureMACaddresses:1---表1-3displayport-securitymac-addresssecurity命令显示信息描述表字段描述MACADDR安全MAC地址VLANID端口所属VLANSTATE添加的MAC地址类型Secure:表示该项是安全MAC地址PortINDEX安全MAC地址所在端口AGINGTIME安全MAC地址的剩余存活时间对于静态MAC地址,显示为Notaged对于StickyMAC地址,显示为具体的剩余存活时间,当存活时间小于60秒,显示单位为秒;当存活时间大于等于60秒时,显示单位为分钟.
缺省情况下为不进行老化,显示为NotagedNumberofsecureMACaddresses当前保存的安全MAC地址数【相关命令】port-securitymac-addresssecurity1.
1.
4port-securityaccess-userlogenableport-securityaccess-userlogenable命令用来开启端口安全接入用户日志信息功能.
undoport-securityaccess-userlogenable命令用来关闭端口安全接入用户日志信息功能.
1-7【命令】port-securityaccess-userlogenable[failed-authorization|mac-learning|violation]*undoport-securityaccess-userlogenable[failed-authorization|mac-learning|violation]*【缺省情况】端口安全接入用户日志信息功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】failed-authorization:802.
1X或MAC地址认证用户授权失败时的日志信息.
mac-learning:端口自动学习到MAC地址时的日志信息.
violation:端口安全入侵检测功能被触发时的日志信息.
【使用指导】为了防止设备输出过多的端口安全接入用户日志信息,一般情况下建议关闭此功能.
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应日志功能.
【举例】#开启端口安全入侵检测功能被触发时的日志信息.
system-view[Sysname]port-securityaccess-userlogenableviolation【相关命令】info-centersourceportseclogfiledeny(网络管理和监控/信息中心)1.
1.
5port-securityauthenticationopenport-securityauthenticationopen命令用来开启端口上端口安全的开放认证模式.
undoport-securityauthenticationopen命令用来关闭端口上端口安全的开放认证模式.
【命令】port-securityauthenticationopenundoport-securityauthenticationopen【缺省情况】端口上的端口安全开放认证模式处于关闭状态.
【视图】二层以太网接口视图1-8二层聚合接口视图【缺省用户角色】network-adminmdc-admin【使用指导】开启端口上的端口安全开放认证模式后,端口上的802.
1X、MAC地址认证用户即使身份信息不正确(包含不存在的用户名或者错误的密码两种情况)也可以正常接入并访问网络.
在这种模式下接入的用户被称为open用户,此类用户不支持授权和计费,但可通过displaydot1xconnectionopen、displaymac-authenticationconnectionopen命令查看相关信息.
端口上开启端口安全的开放认证模式后,身份信息正确的用户可正常上线,此类不属于open用户.
开放认证模式优先级低于802.
1X的Auth-FailVLAN和MAC地址认证的GuestVLAN,即如果端口上配置了802.
1X的Auth-FailVLAN或MAC地址认证的GuestVLAN,密码错误的接入用户会加入认证失败VLAN,开放认证模式不生效.
有关802.
1X、MAC地址认证的详细介绍,请参见"安全配置指导"中的"802.
1X"和"MAC地址认证".
【举例】#开启端口Ten-GigabitEthernet1/0/1上的端口安全的开放认证模式.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityauthenticationopen【相关命令】displaydot1xconnectiondisplaymac-authenticationconnectionport-securityauthenticationopenglobal1.
1.
6port-securityauthenticationopenglobalport-securityauthenticationopenglobal命令用来开启全局端口安全的开放认证模式.
undoport-securityauthenticationopenglobal命令用来关闭全局端口安全的开放认证模式.
【命令】port-securityauthenticationopenglobalundoport-securityauthenticationopenglobal【缺省情况】端口安全的开放认证模式处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin1-9mdc-admin【使用指导】开启全局端口安全开放认证模式之后,802.
1X、MAC地址认证用户即使身份信息不正确(包含不存在的用户名或者错误的密码两种情况)也可以正常接入并访问网络.
在这种模式下接入的用户被称为open用户,此类用户不支持授权和计费,但可通过displaydot1xconnectionopen、displaymac-authenticationconnectionopen命令查看相关信息.
全局开启端口安全的开放认证模式后,身份信息正确的用户可正常上线,此类不属于open用户.
开放认证模式优先级低于802.
1X的Auth-FailVLAN和MAC地址认证的GuestVLAN,即如果端口上配置了802.
1X的Auth-FailVLAN或MAC地址认证的GuestVLAN,密码错误的接入用户会加入认证失败VLAN,开放认证模式不生效.
有关802.
1X、MAC地址认证的详细介绍,请参见"安全"中的"802.
1X"和"MAC地址认证".
【举例】#开启全局端口安全的开放认证模式.
system-view[Sysname]port-securityauthenticationopenglobal【相关命令】displaydot1xconnectiondisplaymac-authenticationconnectionport-securityauthenticationopen1.
1.
7port-securityauthorizationignoreport-securityauthorizationignore命令用来配置端口不应用RADIUS服务器或设备本地下发的授权信息.
undoport-securityauthorizationignore命令用来恢复缺省情况.
【命令】port-securityauthorizationignoreundoport-securityauthorizationignore【缺省情况】端口应用RADIUS服务器或设备本地下发的授权信息.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin1-10【使用指导】当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等.
若不希望接受这类动态下发的属性,则可通过配置本命令来忽略.
【举例】#配置端口Ten-GigabitEthernet1/0/1不应用RADIUS服务器或设备本地下发的授权信息.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityauthorizationignore【相关命令】displayport-security1.
1.
8port-securityauthorization-failofflineport-securityauthorization-failoffline命令用来开启授权失败用户下线功能.
undoport-securityauthorization-failoffline命令用来关闭授权失败用户下线功能.
【命令】port-securityauthorization-failoffline[quiet-period]undoport-securityauthorization-failoffline【缺省情况】授权失败用户下线功能处于关闭状态,即授权失败后用户保持在线.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】quiet-period:表示开启用户授权失败下线静默功能.
802.
1X认证或MAC地址认证用户下线后,设备将其加入对应认证类型的静默队列,并根据对应认证类型的静默定时器的值来确定用户认证失败以后,设备停止对其提供认证服务的时间间隔.
在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃;静默期后,设备再次收到该用户的报文,则对其进行认证处理.
若不指定此参数,用户授权下线后,设备再次收到该用户的报文就对其进行认证处理.
【使用指导】如果配置为授权失败用户下线,当下发的授权ACL不存在或者ACL下发失败时,将强制用户下线.
如果配置为授权失败用户保持在线,当下发的授权ACL不存在或者ACL下发失败时,用户保持在线,授权ACL不生效,设备打印日志信息.
若开启本功能时指定了quiet-period参数则需要先完成如下配置:对于802.
1X用户,通过dot1xquiet-period命令开启802.
1X认证静默定时器功能,并通过dot1xtimerquiet-period命令设置静默定时器的值.
1-11对于MAC地址认证用户,通过mac-authenticationtimerquiet命令配置MAC地址认证静默定时器的值.
【举例】#开启授权失败用户下线功能.
system-view[Sysname]port-securityauthorization-failoffline【相关命令】displayport-securitydot1xquiet-period(安全命令参考/802.
1X)dot1xtimerquiet-period(安全命令参考/802.
1X)mac-authenticationtimer(安全命令参考/MAC地址认证)1.
1.
9port-securityenableport-securityenable命令用来使能端口安全.
undoport-securityenable命令用来关闭端口安全.
【命令】port-securityenableundoport-securityenable【缺省情况】端口安全功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】如果已全局开启了802.
1X或MAC地址认证,则无法使能端口安全.
执行使能或关闭端口安全的命令后,端口上的相关配置将会恢复为如下情况:802.
1X端口接入控制方式恢复为macbased;802.
1X端口的授权状态恢复为auto.
端口上有用户在线的情况下,若关闭端口安全,则在线用户将会下线.
【举例】#使能端口安全.
system-view[Sysname]port-securityenable【相关命令】displayport-security1-12dot1x(安全命令参考/802.
1X)dot1xport-control(安全命令参考/802.
1X)dot1xport-method(安全命令参考/802.
1X)mac-authentication(安全命令参考/MAC地址认证)1.
1.
10port-securityfree-vlanport-securityfree-vlan命令用来配置端口安全的FreeVLAN.
undoport-securityfree-vlan命令用来恢复缺省配置.
【命令】port-securityfree-vlanvlan-id-listundoport-securityfree-vlanvlan-id-list【缺省情况】未配置端口安全的FreeVLAN,即开启802.
1X认证、MAC地址认证或配置了端口安全相关认证模式的端口接收的任意VLAN内的用户报文都需要进行相应的认证.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin【参数】vlan-id-list:指定无需进行802.
1X或MAC地址认证的VLAN列表.
表示方式为vlan-id-list={vlan-id1[tovlan-id2]}&,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&表示前面的参数最多可以重复输入10次.
【使用指导】开启802.
1X认证、MAC地址认证或端口安全功能并配置了端口安全模式为userLogin、userLoginSecure、userLoginWithOUI、userLoginSecureExt、macAddressWithRadius、macAddressOrUserLoginSecure、macAddressElseUserLoginSecure、macAddressOrUserLoginSecureExt或macAddressElseUserLoginSecureExt时,若需要对指定VLAN的流量不进行认证,直接转发,可配置端口安全的FreeVLAN.
可以通过多次执行本命令,配置端口安全的多个FreeVLAN.
【举例】#在端口Ten-GigabitEthernet1/0/1配置FreeVLAN为VLAN2和VLAN3,即设备接收到这两个VLAN内的报文不触发802.
1X或MAC地址认证.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityfree-vlan231-13【相关命令】displayport-security1.
1.
11port-securityintrusion-modeport-securityintrusion-mode命令用来配置入侵检测特性,对接收到非法报文的端口采取相应的安全策略.
undoport-securityintrusion-mode命令用来恢复缺省情况.
【命令】port-securityintrusion-mode{blockmac|disableport|disableport-temporarily}undoport-securityintrusion-mode【缺省情况】对接收到非法报文的端口不进行入侵检测处理.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin【参数】blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用.
此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常.
阻塞MAC地址列表可以通过displayport-securitymac-addressblock命令查看.
disableport:表示将收到非法报文的端口永久关闭.
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间.
关闭时长可通过port-securitytimerdisableport命令配置.
【使用指导】可以通过执行undoshutdown命令重新开启被入侵检测特性临时或永久断开的端口.
【举例】#配置端口Ten-GigabitEthernet1/0/1的入侵检测特性检测到非法报文后,将非法报文的源MAC地址置为阻塞MAC.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityintrusion-modeblockmac【相关命令】displayport-security1-14displayport-securitymac-addressblockport-securitytimerdisableport1.
1.
12port-securitymac-addressaging-typeinactivityport-securitymac-addressaging-typeinactivity命令用来配置安全MAC地址的老化方式为无流量老化.
undoport-securitymac-addressaging-typeinactivity命令用来恢复缺省情况.
【命令】port-securitymac-addressaging-typeinactivityundoport-securitymac-addressaging-typeinactivity【缺省情况】安全MAC地址按照配置的老化时间进行老化,即在安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生.
【视图】二层以太网接口视图【缺省用户角色】network-adminmdc-admin【使用指导】无流量老化方式下,设备会定期检测端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的老化时间内没有任何流量产生,则才会被老化,否则该安全MAC地址不会被老化,并在下一个老化周期内重复该检测过程.
下一个周期内若还有流量产生则继续保持该安全MAC地址的学习状态,该方式可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化时间到达之后占用端口资源.
如果通过port-securitytimerautolearnaging命令配置的安全MAC地址老化时间大于等于60秒,则设备以30秒为周期,检测端口上的安全MAC地址是否有流量产生,当某安全MAC地址在配置的老化时间内没有任何流量产生,安全MAC地址会被老化.
如果通过port-securitytimerautolearnagingsecond命令配置的安全MAC地址老化时间小于60秒,则设备以配置的安全MAC地址老化时间为周期,检测端口上的安全MAC地址是否有流量产生,当某安全MAC地址在配置的老化时间内没有任何流量产生,安全MAC地址会被老化.
此命令仅对于StickyMAC地址以及动态类型的安全MAC地址有效.
【举例】#配置端口Ten-GigabitEthernet1/0/1的安全MAC地址的老化方式为无流量老化.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitymac-addressaging-typeinactivity1-15【相关命令】displayport-security1.
1.
13port-securitymac-addressdynamicport-securitymac-addressdynamic命令用来将StickyMAC地址设置为动态类型的安全MAC地址.
undoport-securitymac-addressdynamic命令用来恢复缺省情况.
【命令】port-securitymac-addressdynamicundoport-securitymac-addressdynamic【缺省情况】端口学习到的是Sticky类型的安全MAC,它能够被保存在配置文件中,设备重启后也不会丢失.
【视图】二层以太网接口视图【缺省用户角色】network-adminmdc-admin【使用指导】动态类型的安全MAC地址不会被保存在配置文件中,可通过执行displayport-securitymac-addresssecurity命令查看到,设备重启之后会丢失.
在不希望设备上保存重启之前端口上已有的StickyMAC地址的情况下,可将其设置为动态类型的安全MAC地址.
本命令成功执行后,指定端口上的StickyMAC地址会立即被转换为动态类型的安全MAC地址,且将不能手工添加StickyMAC地址.
之后,若成功执行对应的undo命令,该端口上的动态类型的安全MAC地址会立即转换为StickyMAC地址,且用户可以手工添加StickyMAC地址.
【举例】#将端口Ten-GigabitEthernet1/0/1上的StickyMAC地址设置为动态类型的安全MAC地址.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitymac-addressdynamic【相关命令】displayport-securitydisplayport-securitymac-addresssecurity1.
1.
14port-securitymac-addresssecurityport-securitymac-addresssecurity命令用来添加安全MAC地址.
undoport-securitymac-addresssecurity命令用来删除指定的安全MAC地址.
1-16【命令】在二层以太网接口视图下:port-securitymac-addresssecurity[sticky]mac-addressvlanvlan-idundoport-securitymac-addresssecurity[sticky]mac-addressvlanvlan-id在系统视图下:port-securitymac-addresssecurity[sticky]mac-addressinterfaceinterface-typeinterface-numbervlanvlan-idundoport-securitymac-addresssecurity[[mac-address[interfaceinterface-typeinterface-number]]vlanvlan-id]【缺省情况】未配置安全MAC地址.
【视图】系统视图二层以太网接口视图【缺省用户角色】network-adminmdc-admin【参数】sticky:表示要添加一个可老化的安全MAC地址(StickyMAC地址).
若不指定本参数,则表示添加的是一个不老化的静态安全MAC地址.
mac-address:安全MAC地址,格式为H-H-H.
interfaceinterface-typeinterface-number:指定添加安全MAC地址的接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
vlanvlan-id:指定安全MAC地址所属的VLAN.
其中,vlan-id表示VLAN编号,取值范围为1~4094.
【使用指导】StickyMAC地址的老化时间可通过port-securitytimerautolearnaging命令配置.
当StickyMAC地址的老化时间到达时,StickyMAC地址即被删除.
手工配置添加的安全MAC地址在保存配置并设备重启后,不会被删除.
因此,可以将网络中一些已知的、固定要接入某端口的主机或设备的MAC地址添加为安全MAC地址,这样在端口处于autoLearn安全模式时,此类源MAC地址为安全MAC地址的主机或设备的报文将被允许通过指定端口,而且还可避免与其它通过自动方式学习到端口上的MAC地址的报文争夺资源而被拒绝接收.
成功添加安全MAC地址的前提为:端口安全处于开启状态;端口的端口安全模式为autoLearn;当前的端口允许指定的VLAN通过或已加入该VLAN,且该VLAN已存在.
已添加的安全MAC地址,除非首先将其删除,否则不能重复添加或者修改其地址类型,例如已经在某端口上添加了一条安全MAC地址port-securitymac-addresssecurity1-1-1vlan10,则不能再添加一条安全MAC地址port-securitymac-addresssecuritysticky1-1-1vlan10.
1-17所有的静态安全MAC地址均不老化,除非被管理员通过命令行手工删除,或因为配置的改变(端口的安全模式被改变,或端口安全功能被关闭)而被系统自动删除.
【举例】#使能端口安全,配置端口Ten-GigabitEthernet1/0/1的安全模式为autoLearn,并指定端口安全允许的最大MAC地址数为100.
system-view[Sysname]port-securityenable[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitymax-mac-count100[Sysname-Ten-GigabitEthernet1/0/1]port-securityport-modeautolearn#为该端口添加一条StickyMAC地址0001-0002-0003,该安全MAC地址属于VLAN4.
[Sysname-Ten-GigabitEthernet1/0/1]port-securitymac-addresssecuritysticky0001-0002-0003vlan4[Sysname-Ten-GigabitEthernet1/0/1]quit#在系统视图下为端口Ten-GigabitEthernet1/0/1添加一条安全MAC地址0001-0001-0002,该安全MAC地址属于VLAN10.
[Sysname]port-securitymac-addresssecurity0001-0001-0002interfaceten-gigabitethernet1/0/1vlan10【相关命令】displayport-securityport-securitytimerautolearnaging1.
1.
15port-securitymac-limitport-securitymac-limit命令用来设置端口上指定VLAN内端口安全功能允许同时接入的最大MAC地址数.
undoport-securitymac-limit命令用来恢复缺省情况.
【命令】port-securitymac-limitmax-numberper-vlanvlan-id-listundoport-securitymac-limitper-vlanvlan-id-list【缺省情况】端口上端口安全功能允许同时接入的最大MAC地址数为2147483647.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin1-18【参数】max-number:端口上端口安全功能允许同时接入的MAC地址数的最大值的取值范围为1~2147483647.
per-vlanvlan-id-list:指定VLAN列表内每个VLAN内允许同时接入的MAC地址数的最大值.
表示方式为vlan-id-list={vlan-id1[tovlan-id2]}&,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&表示前面的参数最多可以重复输入10次.
【使用指导】端口上端口安全功能允许接入的MAC地址包括:端口上MAC地址认证成功用户的MAC地址;MAC地址认证GuestVLAN、CriticalVLAN中用户的MAC地址;MAC地址认证GuestVSI和CriticalVSI中的用户的MAC地址.
802.
1X认证成功用户的MAC地址;802.
1X认证GuestVLAN、Auth-FailVLAN、CriticalVLAN中用户的MAC地址;802.
1X认证GuestVSI、Auth-FailVSI、CriticalVSI中用户的MAC地址.
由于系统资源有限,如果当前端口上允许接入的MAC地址数过多,接入MAC地址之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障.
当指定VLAN内,端口允许接入的MAC地址数超过最大值后,该VLAN内新接入的MAC地址将被拒绝.
通过本命令配置端口上指定VLAN内端口安全功能允许同时接入的最大MAC地址数,不能小于当前端口上相应VLAN已存在的MAC地址数;否则,本次配置不生效.
【举例】#配置端口Ten-GigabitEthernet1/0/1上,VLAN1、VLAN5和VLAN10~VLAN20上每个VLAN最多允许同时接入32个MAC地址认证或802.
1X认证用户.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitymac-limit32per-vlan1510to20【相关命令】displaymac-authenticationdisplaydot1x1.
1.
16port-securitymac-movepermitport-securitymac-movepermit命令用来开启允许MAC迁移功能.
undoport-securitymac-movepermit命令用来关闭允许MAC迁移功能.
【命令】port-securitymac-movepermitundoport-securitymac-movepermit【缺省情况】允许MAC迁移功能处于关闭状态.
1-19【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】该功能对系统中的所有802.
1X认证用户和MAC地址认证用户生效.
MAC迁移功能处于关闭状态时,如果用户从某一端口上线成功,则该用户在未从当前端口下线的情况下无法在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证,也无法上线.
MAC迁移功能处于开启状态时,如果用户从某一端口上线成功,则允许该在线用户在设备的其它端口上(无论该端口是否与当前端口属于同一VLAN)发起认证.
如果该用户在后接入的端口上认证成功,则当前端口会将该用户立即进行下线处理,保证该用户仅在一个端口上处于上线状态.
如果服务器在线用户数已达到上限,将无法进行MAC地址迁移.
【举例】#开启允许MAC迁移功能.
system-view[Sysname]port-securitymac-movepermit【相关命令】displayport-security1.
1.
17port-securitymax-mac-countport-securitymax-mac-count命令用来设置端口安全允许的最大安全MAC地址数.
undoport-securitymax-mac-count命令用来恢复缺省情况.
【命令】port-securitymax-mac-countmax-count[vlan[vlan-id-list]]undoport-securitymax-mac-count[vlan[vlan-id-list]]【缺省情况】端口安全不限制本端口可保存的最大安全MAC地址数.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin1-20【参数】max-count:端口允许的最大安全MAC地址数,取值范围为1~2147483647.
端口安全允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数.
vlan[vlan-id-list]:指定端口所属VLAN.
vlan-id-list是VLAN列表,表示方式为vlan-id-list={vlan-id1[tovlan-id2]}&,vlan-id取值范围为1~4094,&表示前面的参数最多可以重复输入10次.
vlan-id2的值必须大于或等于vlan-id1的值.
若不指定vlan参数,则表示限制当前端口上允许的最大安全MAC地址数.
若不指定vlan-id-list,则表示限制当前端口上每个VLAN内允许通过的的最大安全MAC地址数.
【使用指导】对于autoLearn安全模式,端口允许的最大安全MAC地址数由本命令配置,包括端口上学习到的以及手工配置的安全MAC地址数;对于采用802.
1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取本命令配置的值与相应模式下允许认证用户数的最小值.
例如,userLoginSecureExt模式下,端口下所允许的最大安全MAC地址数为配置的端口安全允许的最大安全MAC地址数与802.
1X认证所允许的最大用户数的最小值.
当端口工作于autoLearn模式时,无法更改端口安全允许的最大安全MAC地址数.
vlan[vlan-id-list]参数配置仅对端口安全的autolearn模式生效.
端口允许的VLAN内最大安全MAC地址数不能小于当前VLAN内已保存的MAC地址数.
对于端口上的同一VLAN,后配置的最大安全MAC地址数覆盖前面配置的最大安全MAC地址数.
【举例】#在端口Ten-GigabitEthernet1/0/1上配置端口安全允许的最大安全MAC地址数为100.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitymax-mac-count100【相关命令】displayport-security1.
1.
18port-securitynas-id-profileport-securitynas-id-profile命令用来指定全局/端口引用的NAS-IDProfile.
undoport-securitynas-id-profile命令用来恢复缺省情况.
【命令】port-securitynas-id-profileprofile-nameundoport-securitynas-id-profile【缺省情况】未指定引用的NAS-IDProfile.
【视图】系统视图二层以太网接口视图二层聚合接口视图1-21【缺省用户角色】network-adminmdc-admin【参数】profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写.
【使用指导】本命令引用的NAS-IDProfile由命令aaanas-idprofile配置,具体情况请参考"安全命令参考"中的"AAA".
NAS-IDProfile可以在系统视图下或者接口视图下进行配置引用,接口上的配置优先,若接口上没有配置,则使用系统视图下的全局配置.
如果指定了NAS-IDProfile,则此Profile中定义的绑定关系优先使用;如果未指定NAS-IDProfile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID.
【举例】#在端口Ten-GigabitEthernet1/0/1上指定名为aaa的NAS-IDProfile.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securitynas-id-profileaaa#在系统视图下指定名为aaa的NAS-IDProfile.
system-view[Sysname]port-securitynas-id-profileaaa【相关命令】aaanas-idprofile(安全命令参考/AAA)1.
1.
19port-securityntk-modeport-securityntk-mode命令用来配置端口NeedToKnow特性.
undoport-securityntk-mode命令用来恢复缺省情况.
【命令】port-securityntk-mode{ntk-withbroadcasts|ntk-withmulticasts|ntkonly}undoport-securityntk-mode【缺省情况】端口未配置NeedToKnow特性,即所有报文都可成功发送.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin1-22【参数】ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过.
ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过.
ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过.
【使用指导】NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据.
【举例】#配置端口Ten-GigabitEthernet1/0/1的NeedToKnow特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文.
system-view[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityntk-modentkonly【相关命令】displayport-security1.
1.
20port-securityouiport-securityoui命令用来配置允许通过认证的用户的OUI值.
undoport-securityoui命令用来删除指定索引的OUI值.
【命令】port-securityouiindexindex-valuemac-addressoui-valueundoport-securityouiindexindex-value【缺省情况】不存在允许通过认证的用户OUI值.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】index-value:标识此OUI的索引值,取值范围为1~16.
oui-value:OUI值,输入格式为H-H-H的48位MAC地址.
系统会自动取输入的前24位作为OUI值,忽略后24位.
1-23【使用指导】OUI是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符.
当需要允许某些厂商的设备(如IP电话或打印机)无需认证即可接入网络时,则可以通过本命令来指定这些设备的OUI值.
可通过多次执行本命令,配置多个OUI值.
配置的OUI值只在端口安全模式为userLoginWithOUI时生效.
在userLoginWithOUI模式下,端口上除了允许一个802.
1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符.
【举例】#配置一个允许通过认证的用户OUI值为000d2a,索引为4.
system-view[Sysname]port-securityouiindex4mac-address000d-2a10-0033【相关命令】displayport-security1.
1.
21port-securityport-modeport-securityport-mode命令用来配置端口安全模式.
undoport-securityport-mode命令用来恢复缺省情况.
【命令】port-securityport-mode{autolearn|mac-authentication|mac-else-userlogin-secure|mac-else-userlogin-secure-ext|secure|userlogin|userlogin-secure|userlogin-secure-ext|userlogin-secure-or-mac|userlogin-secure-or-mac-ext|userlogin-withoui}undoport-securityport-mode【缺省情况】端口处于noRestrictions模式,此时该端口的安全功能关闭,端口处于不受端口安全限制的状态.
【视图】二层以太网接口视图二层聚合接口视图【缺省用户角色】network-adminmdc-admin1-24【参数】表1-4安全模式的参数解释表参数安全模式说明autolearnautoLearn端口可通过手工配置或自动学习MAC地址.
手工配置或自动学习到的MAC地址被称为安全MAC,并被添加到安全MAC地址表中当端口下的安全MAC地址数超过端口安全允许的最大安全MAC地址数后,端口模式会自动转变为secure模式.
之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、通过命令mac-addressdynamic或mac-addressstatic手工配置的MAC地址的报文,才能通过该端口mac-authenticationmacAddressWithRadius对接入用户采用MAC地址认证此模式下,端口允许多个用户接入mac-else-userlogin-securemacAddressElseUserLoginSecure端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.
1X认证.
允许端口下一个802.
1X认证用户及多个MAC地址认证用户接入非802.
1X报文直接进行MAC地址认证.
802.
1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.
1X认证mac-else-userlogin-secure-extmacAddressElseUserLoginSecureExt与macAddressElseUserLoginSecure类似,但允许端口下有多个802.
1X和MAC地址认证用户securesecure禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口userloginuserLogin对接入用户采用基于端口的802.
1X认证此模式下,端口下的第一个802.
1X用户认证成功后,其它用户无须认证就可接入userlogin-secureuserLoginSecure对接入用户采用基于MAC地址的802.
1X认证此模式下,端口最多只允许一个802.
1X认证用户接入userlogin-secure-extuserLoginSecureExt对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户userlogin-secure-or-macmacAddressOrUserLoginSecure端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.
1X认证用户及多个MAC地址认证用户接入此模式下,802.
1X认证优先级大于MAC地址认证:报文首先触发802.
1X认证,默认情况下,如果802.
1X认证失败再进行MAC地址认证;若开启了端口的MAC地址认证和802.
1X认证并行处理功能,则端口配置了802.
1X单播触发功能的情况下,当端口收到源MAC地址未知的报文,会向该MAC地址单播发送EAP-Request帧来触发802.
1X认证,但不等待802.
1X认证处理完成,就同时进行MAC地址认证userlogin-secure-or-mac-extmacAddressOrUserLoginSecureExt与macAddressOrUserLoginSecure类似,但允许端口下有多个802.
1X和MAC地址认证用户1-25参数安全模式说明userlogin-withouiuserLoginWithOUI与userLoginSecure模式类似,但端口上除了允许一个802.
1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.
1X认证,OUI匹配成功和802.
1X认证成功的报文都允许通过端口二层以太网聚合接口不支持配置autolearn、secure、userlogin-withoui模式.
【使用指导】端口安全模式与端口下的802.
1X认证使能、端口接入控制方式、端口授权状态以及端口下的MAC地址认证使能配置互斥.
当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undoport-securityport-mode命令恢复端口安全模式为noRestrictions模式.
配置端口安全autoLearn模式时,首先需要通过命令port-securitymax-mac-count设置端口安全允许的最大安全MAC地址数.
端口上有用户在线的情况下,端口安全模式无法改变.
开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效.
MAC地址认证延迟功能的具体配置请参见"安全命令参考"中的"MAC地址认证".
【举例】#使能端口安全,并配置端口Ten-GigabitEthernet1/0/1的端口安全模式为secure.
system-view[Sysname]port-securityenable[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityport-modesecure#将端口GigabitEthernet1/1的端口安全模式改变为userLogin.
[Sysname-Ten-GigabitEthernet1/0/1]undoport-securityport-mode[Sysname-Ten-GigabitEthernet1/0/1]port-securityport-modeuserlogin【相关命令】displayport-securityport-securitymax-mac-count1.
1.
22port-securitytimerautolearnagingport-securitytimerautolearnaging命令用来配置安全MAC地址的老化时间.
undoport-securitytimerautolearnaging命令用来恢复缺省情况.
1-26【命令】port-securitytimerautolearnaging[second]time-valueundoport-securitytimerautolearnaging【缺省情况】安全MAC地址不会老化.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】second:指定安全MAC地址老化时间单位为秒.
如果未指定本参数,则表示安全MAC地址老化时间单位为分钟.
time-value:安全MAC地址的老化时间.
若单位为分钟,则取值范围为0~129600,取值为0表示不会老化.
若单位为秒,则取值范围10~7776000.
【使用指导】安全MAC地址的老化时间对所有端口学习到的安全MAC地址以及手工添加的StickyMAC地址均有效.
当指定的安全MAC地址老化时间单位为秒时,若配置的老化时间大于等于60秒,则安全MAC地址的实际老化时间会以半分钟向上取整,例如,配置老化时间为80秒,则实际老化时间为90秒;若配置的老化时间小于60秒,则安全MAC地址的实际老化时间为用户配置时间.
较短的老化时间可提高端口接入的安全性和端口资源的利用率,但也会影响在线用户的在线稳定性,因此需要结合当前的网络环境和设备的性能合理设置老化时间.
当配置的安全MAC地址老化时间小于60秒,且安全MAC地址老化方式为无流量老化时,建议端口安全允许的最大安全MAC地址数不要配置过大,否则可能影响设备性能.
【举例】#配置安全MAC地址的老化时间为30分钟.
system-view[Sysname]port-securitytimerautolearnaging30#配置安全MAC地址的老化时间为50秒.
system-view[Sysname]port-securitytimerautolearnagingsecond50【相关命令】displayport-securityport-securitymac-addresssecurity1.
1.
23port-securitytimerdisableportport-securitytimerdisableport命令用来配置系统暂时关闭端口的时间.
1-27undoport-securitytimerdisableport命令用来恢复缺省情况.
【命令】port-securitytimerdisableporttime-valueundoport-securitytimerdisableport【缺省情况】系统暂时关闭端口的时间为20秒.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】time-value:端口关闭的时间,取值范围为20~300,单位为秒.
【使用指导】当port-securityintrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口的时间由该命令配置.
【举例】#配置端口Ten-GigabitEthernet1/0/1的入侵检测特性检测到非法报文后,将收到非法报文的端口暂时关闭30秒.
system-view[Sysname]port-securitytimerdisableport30[Sysname]interfaceten-gigabitethernet1/0/1[Sysname-Ten-GigabitEthernet1/0/1]port-securityintrusion-modedisableport-temporarily【相关命令】displayport-securityport-securityintrusion-mode1.
1.
24snmp-agenttrapenableport-securitysnmp-agenttrapenableport-security命令用来开启端口安全告警功能.
undosnmp-agenttrapenableport-security命令用来关闭指定的端口安全告警功能.
【命令】snmp-agenttrapenableport-security[address-learned|dot1x-failure|dot1x-logoff|dot1x-logon|intrusion|mac-auth-failure|mac-auth-logoff|mac-auth-logon]*undosnmp-agenttrapenableport-security[address-learned|dot1x-failure|dot1x-logoff|dot1x-logon|intrusion|mac-auth-failure|mac-auth-logoff|mac-auth-logon]*1-28【缺省情况】端口安全的所有告警功能均处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】address-learned:表示端口学习到新MAC地址时的告警功能.
dot1x-failure:表示802.
1X用户认证失败时的告警功能.
dot1x-logon:表示802.
1X用户认证成功时的告警功能.
dot1x-logoff:表示802.
1X用户认证下线时的告警功能.
intrusion:表示发现非法报文时的告警功能.
mac-auth-failure:表示MAC地址认证用户认证失败时的告警功能.
mac-auth-logoff:表示MAC地址认证用户认证下线时的告警功能.
mac-auth-logon:表示MAC地址认证用户认证成功时的告警功能.
【使用指导】如果不指定任何参数,则表示开启或关闭所有类型的端口安全告警功能.
只有配置了入侵检测特性(通过命令port-securityintrusion-mode),端口安全告警功能才生效.
开启端口安全模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件.
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性.
有关告警信息的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
【举例】#开启端口学习到新MAC地址时的告警功能.
system-view[Sysname]snmp-agenttrapenableport-securityaddress-learned【相关命令】displayport-securityport-securityenable