H3C S3100V2端口安全配置

2024-04-13 05:38
文章标签 配置 安全 端口 h3c s3100v2

本文主要是介绍H3C S3100V2端口安全配置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、端口安全简介
       端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

       端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:MAC地址未被端口学习到的用户报文; 未通过认证的用户报文。

1、端口安全模式描述:

安全模式

工作机制

NTK/入侵检测

缺省情况

noRestrictions

表示端口的安全功能关闭,端口处于无限制状态

无效

端口控制MAC地址学习

autoLearn

端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中

当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

该模式下,端口禁止学习动态MAC地址

可触发

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

配置任务

说明

使能端口安全功能

必选

配置端口安全允许的最大MAC地址数

可选

配置端口安全模式

必选

配置端口安全的特性

配置Need To Know特性

可选

根据实际组网需求选择其中一种或多种特性

配置入侵检测特性

配置Trap特性

配置安全MAC地址

可选

配置当前端口不应用服务器下发的授权信息

可选

二、步骤说明:

1、使能端口安全功能

操作

命令

说明

进入系统视图

system-view

-

使能端口安全功能

port-security enable

必选

缺省情况下,端口安全功能处于关闭状态

2、配置端口安全允许的最大MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口安全允许的最大MAC地址数

port-security max-mac-count count-value

必选

缺省情况下,最大MAC地址数不受限制

3、配置端口安全安全模式

操作

命令

说明

进入系统视图

system-view

-

配置允许通过认证的用户OUI值

port-security oui oui-value index index-value

可选

缺省情况下,没有配置允许通过认证的用户OUI值

该命令仅在配置userlogin-withoui安全模式时必选

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的安全模式

port-security port-mode { autolearn | mac-authenticationmac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

必选

缺省情况下,端口处于noRestrictions模式

4、配置入侵检测特性

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置入侵检测特性

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

必选

缺省情况下,不进行入侵检测处理

退回系统视图

quit

-

配置系统暂时关闭端口连接的时间

port-security timer disableport time-value

可选

缺省情况下,系统暂时关闭端口连接的时间为20秒

5、配置安全MAC地址

在配置安全MAC地址之前,需要完成以下配置任务:

使能端口安全功能

设置端口安全允许的最大MAC地址数

 配置端口安全模式为autoLearn

操作

命令

说明

进入系统视图

system-view

-

配置安全MAC地址的老化时间

port-security timer autolearn aging time-value

可选

缺省情况下,安全MAC地址不会老化

配置安全MAC地址

在系统视图下

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

二者必选其一

缺省情况下,未配置安全MAC地址

在二层以太网端口视图下

interface interface-type interface-number

port-security mac-address security [ sticky ] mac-address vlan vlan-id

quit

进入二层以太网端口视图

interface interface-type interface-number

-

配置安全地址的老化方式为无流量老化

port-security mac-address aging-type inactivity

可选

缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化

将Sticky MAC地址设置为动态类型的安全MAC地址

port-security mac-address dynamic

可选

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失

案例:

[office-2F-UPS-S3100I]port-security enable #使能端口安全

interface Ethernet1/0/4
 port access vlan 19
 port-security max-mac-count 1 #最多允许1个MAC地址
 port-security port-mode autolearn #端口安全模式
 port-security intrusion-mode disableport #入侵检测,并执行对应操作
 port-security mac-address security sticky f48e-38f8-e144 vlan 19 #检测到设备之后,自动绑定MAC和vlan

[office-2F-UPS-S3100I]display  port-security interface Ethernet  1/0/4
 Equipment port-security is enabled
 Intrusion trap is enabled
 AutoLearn aging time is 0 minutes
 Disableport Timeout: 20s
 OUI value:

 Ethernet1/0/4 is link-down
   Port mode is secure
   NeedToKnow mode is disabled
   Intrusion Protection mode is DisablePort
   Max MAC address number is 1
   Stored MAC address number is 1
   Authorization is permitted
   Security MAC address learning mode is sticky
   Security MAC address aging type is absolute

这篇关于H3C S3100V2端口安全配置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/899271

相关文章

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7

hadoop开启回收站配置

开启回收站功能,可以将删除的文件在不超时的情况下,恢复原数据,起到防止误删除、备份等作用。 开启回收站功能参数说明 (1)默认值fs.trash.interval = 0,0表示禁用回收站;其他值表示设置文件的存活时间。 (2)默认值fs.trash.checkpoint.interval = 0,检查回收站的间隔时间。如果该值为0,则该值设置和fs.trash.interval的参数值相等。

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam

wolfSSL参数设置或配置项解释

1. wolfCrypt Only 解释:wolfCrypt是一个开源的、轻量级的、可移植的加密库,支持多种加密算法和协议。选择“wolfCrypt Only”意味着系统或应用将仅使用wolfCrypt库进行加密操作,而不依赖其他加密库。 2. DTLS Support 解释:DTLS(Datagram Transport Layer Security)是一种基于UDP的安全协议,提供类似于

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

沁恒CH32在MounRiver Studio上环境配置以及使用详细教程

目录 1.  RISC-V简介 2.  CPU架构现状 3.  MounRiver Studio软件下载 4.  MounRiver Studio软件安装 5.  MounRiver Studio软件介绍 6.  创建工程 7.  编译代码 1.  RISC-V简介         RISC就是精简指令集计算机(Reduced Instruction SetCom